Aanvallers hebben de updateserver van een Zuid-Koreaans softwarebedrijf gehackt en gebruikt om malware mee te verspreiden, zo meldt anti-virusbedrijf Trend Micro. Het gaat om een zogeheten "supply chain" aanval, enigszins vergelijkbaar met de NotPetya-aanval die vorig jaar plaatsvond.

Het niet nader genoemde softwarebedrijf ontwikkelt oplossingen voor "remote support" en zou vooral in Zuid-Korea erg populair zijn. In de Zuid-Koreaanse media wordt gemeld dat het bedrijf meer dan 10.000 klanten heeft. Aanvallers wisten de private key te stelen van het certificaat waarmee de code van het softwarebedrijf wordt gesigneerd. Vervolgens signeerden de aanvallers hun eigen kwaadaardige update met dit certificaat. Deze update werd klaargezet op de server van de aanvallers.

De aanvallers wisten ook de updateserver van het softwarebedrijf te hacken. De server werd zo geconfigureerd dat wanneer klanten van het softwarebedrijf met een bepaald ip-adres verbinding maakten, de kwaadaardige update werd aangeboden. Aangezien de kwaadaardige update met het juiste certificaat was gesigneerd werd die door de remote support-oplossing geaccepteerd en uitgevoerd.

Zodoende werd er een remote access trojan (RAT) op het systeem geïnstalleerd die was ontwikkeld om gegevens te stelen. Ook installeerde de RAT aanvullende kwaadaardige tools, zoals een exploittool voor een kwetsbaarheid in Internet Information Services (IIS) 6 WebDav en een wachtwoorddumper voor SQL-databases. "Deze tools suggereren dat de aanvallers ook zochten naar data die hun slachtoffers in hun webservers en databases hadden opgeslagen", zegt onderzoeker Joseph Chen. Uit logbestanden blijkt dat de RAT die voor deze aanval werd gebruikt zo was ingesteld dat die alleen tussen 18 juli tot en met 31 juli actief zou zijn.

Om supply chain-aanvallen te voorkomen, die via vertrouwde leveranciers en derde partijen plaatsvinden, krijgen organisaties verschillende adviezen. Zo wordt aangeraden om netwerksegmentatie toe te passen, het gebruik van systeembeheertools te beperken, proactief het netwerk op verdachte activiteiten te monitoren en toezicht te houden op de producten en diensten van derde partijen. Zo moeten er ook "security controls" voor applicaties van derde partijen worden toegepast, aldus Chen. Welke en hoeveel organisaties er precies zijn aangevallen is niet bekendgemaakt.