关于PHP/JAVA部署工具OneinStack供应链投毒事件预警

2023-05-16 15,216


事件概要:

OneinStack供应链投毒事件

威胁等级:

高危

影响范围:

近期使用OneinStack部署于RedHat的站点

攻击类型:

供应链投毒攻击


事件描述

据深信服安全运营中心(MSS)安服应急响应团队和深信服蓝军高级威胁(APT)团队监测,监测到PHP/JAVA部署工具OneinStack遭受供应链投毒攻击,官方网站下载安装包被植入恶意链接,已发现境内受感染用户,截止发布时间,相关恶意IoC情报尚未被多数威胁情报平台标记。(oneinstack-full.tar.gz,fc897d5abba2dbff00fb6b88da878ba8)


官网OneinStack安装程序中/usr/local/src/oneinstack/include/openssl.sh被攻击者植入恶意代码。用户从恶意地址下载oneinstack.jpg后,oneinstack.jpg会解压并执行./cron目录下load(只在RedHat服务器运行)。


受害主机中同时存在后续下载的t.jpg,s.jpg,install,cr.jpg,libaudit.so.2等恶意文件。



通过crond、yasio等进程建立DNS隧道通信。



目前作者已确认该事件。



更多相关事件技术分析详情近日将在公众号发布。

参考链接

https://github.com/oneinstack/oneinstack/issues/487

IoC

8.210.226.191

47.243.39.207

oneinstack.cnoneinstack.com

123.56.51.37

download.cnoneinstack.com

load

d892764619456d107894eb4220774d0b

libaudit.so.2

ec868c324e8778d8b3f9d77096720def

oneinstack.jpg

52448a6b782d12adc7b9ce2e54a11802

oneinstack-full.tar.gz

fc897d5abba2dbff00fb6b88da878ba8



本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/200488.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号