【高级持续威胁(APT)】谁是“amdc6766”：一年四起供应链投毒事件的幕后黑手

2017年，黑客入侵Avast服务器，在CCleaner更新中植入恶意代码，被数百万用户下载。

2017年，M.E.Doc遭黑客攻击，篡改更新植入NotPetya，影响全球公司。

2020年，黑客入侵SolarWinds服务器，植入恶意代码影响客户敏感信息，导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视。

…

以上事件，均由黑客发起的供应链攻击引发。

供应链投毒攻击是指黑客利用供应链中的软件、硬件或服务等环节，通过植入恶意代码或篡改产品，从而影响最终用户的安全的一种攻击手段。当今世界依赖于数字网络连接，个人和企业都通过网络进行交流。攻击者可以通过攻击目标公司使用的第三方服务提供商，利用其服务或软硬件作为入口点进入目标网络。然后，通过供应链将风险扩大到其他企业和用户，造成巨大的影响。

2023年4月，深信服安全运营中心（MSS）安服应急响应团队和深信服深瞻情报实验室发现了一起供应链投毒攻击事件，目标是PHP/JAVA部署工具OneinStack。同月，深瞻情报实验室还发现LNMP供应链投毒事件，随后在9月和10月又发现两起供应链投毒事件，分别涉及LNMP和Oneinstack。根据该团伙常用C2服务器特征，高度怀疑这四起供应链投毒事件均出自一个黑产团伙之手。

经过关联分析，深信服深瞻情报实验室发现四起事件的TTPs存在高度一致性，且溯源分析发现该团伙使用了多个以amdc6766.net结尾的域名实施恶意活动，包括供应链投毒攻击以及动态链接库远控后门。 

2023上半年至今，这个黑产组织利用多种攻击手段，包括仿冒页面（AMH、宝塔、Xshell、Navicat）、供应链投毒（LNMP、OneinStack）和公开web漏洞等，有针对性地对运维人员进行攻击。运维人员从仿冒页面或官方平台下载并执行含有恶意代码的部署工具，与攻击者C2服务器建立DNS隧道连接。

该黑产组织通过定向投毒运维部署工具供应链，长期远控低价值主机作为肉鸡，择机选择高价值目标进行深度控制。随后他们会下发Rootkit和代理工具，伺机从事各类黑产活动，给用户造成实际损失。

2023年4月，PHP/JAVA部署工具OneinStack遭受供应链投毒攻击。攻击者在官方网站下载安装包中植入恶意链接，已发现境内用户受到感染。

在OneinStack官方网站的安装程序中，/usr/local/src/oneinstack/include/openssl.sh被攻击者植入恶意代码。当用户从恶意地址下载oneinstack.jpg后，该文件会解压并执行./cron目录下load。

在load执行后，首先会判断受害主机是否为RedHat服务器。然后，它会从download.cnoneinstack.com下载一系列恶意文件，包括t.jpg，s.jpg，install，cr.jpg，libaudit.so.2等，并将他们解压至/var/local/cron目录下。最后，利用crond实现持久化建立DNS隧道通信。

2023年4月和9月期间，Linux服务器部署工具LNMP遭受了供应链投毒的攻击。此次事件使用了与上文类似的攻击手法，因此怀疑是同一伙攻击者所为。

在4月LNMP供应链投毒事件中，安装过程中从lnmp01.amdc6766.net下载了lnmp.jpg，解压并执行了包括ba、cr、libxml.2.so.2.9.2等恶意文件。

9月同样出现了LNMP供应链投毒事件。攻击者在lnmp2.0/include/init.sh中植入了恶意代码，并在tools目录下植入恶意二进制程序lnmp.sh。

执行lnmp.sh后，首先判断受害主机是否为RedHat服务器，然后从download.lnmp.life下载后阶段cr.jpg、s.jpg、Install、libseaudit.so.2.4.6等恶意文件，并将它们解压到了/var/local/cron目录中。最后，通过crond实现持久建立DNS隧道通信。

2023年10月6日，Oneinstack官方镜像网站的最新安装包再次被投毒。这次投毒行为是通过植入恶意代码到oneinstack/src/pcre-8.45/configure文件实施的。攻击者从download.oneinstack.club下载了osk.jpg，解压并执行了./cron目录下load。

load执行后，首先判断受害主机是否为RedHat服务器，然后从download.oneinstack.club下载后阶段t.jpg，s.jpg，install，cr.jpg，libstdc++.so.2.0.0等恶意文件，并将它们解压至/var/local/cron。最后，通过crond实现持久建立DNS隧道通信。

2023年10月，深信服XDR监测到某用户主机crond被替换加载了/libxm2.so.2.9.2等远控后门，同时发现sshd程序的动态链接库劫持/lib64/linux-x86-64.so.2，记录了ssh密码并设置了后门密码360bss3200189。

随后的监控发现了异常DNS定时请求，怀疑主机上可能还存在其他的守护进程。通过对主机的调查，发现这些DNS请求是由Rootkit内核线程发起的。

攻击者可以通过这些DNS请求下发控制命令。例如获取系统版本信息、执行命令、获取文件、执行socks5代理工具等。

此次攻击事件的完整攻击流程，如下图：

通过此次攻击事件的分析，发现与上半年监测到的多起供应链投毒事件存在较高的TTPs相似性，原因如下：

1.攻击套件参数和伪装手段一致

本次攻击者最初攻击套件中的install和src.jpg，install执行命令参数为linux@QWE，使用jpg后缀作为tar包的伪装，其攻击手法与OneinStack供应链投毒事件中的初始攻击套件一致。

2.使用crond服务持久化和后门动态链接库

本次攻击者下发/usr/sbin/crond+/usr/lib/libxm2.so.2.9.2动态链接库劫持，作为远控后门，建立DNS隧道连接。

OneinStack供应链事件中后续下载的crond、libaudit.so.2等恶意文件，同样是利用crond服务动态链接库劫持，建立DNS隧道连接，进行持久化。

3.相同的域名amdc6766.net和攻击手法

内网某台主机存在后门程序/usr/lib/libxm2.so.2.9.2，其外连域名为aliyun.amdc6766.net。

在4月份的LNMP供应链投毒事件中，LNMP的安装过程中，从恶意域名lnmp01.amdc6766.net下载了lnmp.jpg文件。随后，该文件被解压并执行了ba、cr、libxml.2.so.2.9.2等恶意文件。该事件中的域名结构、恶意文件命名结构、攻击手法与上述事件高度相似。

由此可以推断“amdc6766”团伙与这次异常定时DNS请求攻击事件高度相关。四起供应链投毒事件的核心攻击手法相同：

• 恶意文件伪装为jpg

• 加载器的参数相似linux@QWE或linhkkngf@QWE

• install执行参数相同linux@QWE

• 利用crond服务实现持久化

• 执行crond程序加载恶意动态链接库

• 建立DNS隧道连接

经过深信服深瞻情报实验室对可疑域名amdc6766.net的关联分析，获得以下子域名。据了解，该域名常用于供应链投毒攻击以及动态链接库远控后门，因此内部将该团伙命名为代号“amdc6766”黑产组织。

今年4月，监测发现可疑xiandazm.com域名仿冒AMH面板官网。

仿冒页面中的AMH面板部署脚本已被替换为恶意链接。该安装脚本中注入恶意代码从down.amh.jpg下载amh.jpg，提供linux@QWE执行load，后续阶段与供应链投毒攻击无异。

根据恶意文件和网空特征关联到多个仿冒运维部署工具的网站。

对于防范供应链攻击而言，难点在于，攻击者只需找到软件供应链的一个弱点，就能轻松入侵并造成危害。然而，防守方企业需要对整个供应链上下游进行全面的安全防护。由于供应链的复杂性，追溯和清除攻击痕迹都是十分困难的，而这对大多数企业来说既不可行又不现实。因此，企业的重点应该是进一步提升自身的安全防护能力和意识，即使上下游供应链遭到黑客入侵，也能确保自身数据的安全。

在此，我们提醒您：

• 验证软件来源：在部署新的运维工具或更新时，确保从官方可信赖的渠道获取软件，避免使用来路不明的软件包。

• 签名验证：对于软件包和更新，验证数字签名以确保其完整性和真实性，避免被篡改的恶意软件。

• 安全审计：定期对运维工具和软件进行安全审计，及时发现潜在的安全隐患和恶意代码。

• 供应商信任：与可信赖的供应商建立长期合作关系，了解其安全实践和供应链管理措施。