关于PHP/JAVA部署工具OneinStack供应链投毒事件预警
2023-5-16 09:45:10 Author: www.4hou.com(查看原文) 阅读量:35 收藏

导语:深信服安全运营中心(MSS)安服应急响应团队和深信服蓝军高级威胁(APT)团队监测,监测到PHP/JAVA部署工具OneinStack遭受供应链投毒攻击。

事件概要

image.png

事件描述

据深信服安全运营中心(MSS)安服应急响应团队和深信服蓝军高级威胁(APT)团队监测,监测到PHP/JAVA部署工具OneinStack遭受供应链投毒攻击,官方网站下载安装包被植入恶意链接,已发现境内受感染用户,截止发布时间,相关恶意IoC情报尚未被多数威胁情报平台标记。(oneinstack-full.tar.gz,fc897d5abba2dbff00fb6b88da878ba8)

官网OneinStack安装程序中/usr/local/src/oneinstack/include/openssl.sh被攻击者植入恶意代码。用户从恶意地址下载oneinstack.jpg后,oneinstack.jpg会解压并执行./cron目录下load(只在RedHat服务器运行)。

image.png 

受害主机中同时存在后续下载的t.jpg,s.jpg,install,cr.jpg,libaudit.so.2等恶意文件。

image.png

image.png

通过crond、yasio等进程建立DNS隧道通信。

image.png 

目前作者已确认该事件。

image.png 

更多相关事件技术分析详情近日将在公众号发布。

参考链接

https://github.com/oneinstack/oneinstack/issues/487

IoC

image.png

如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/vxQL
如有侵权请联系:admin#unsafe.sh