黑客 可以利用一类新的漏洞,以语义上允许的方式注入具有视觉欺骗性的恶意软件,但会改变源代码定义的逻辑,从而有效地为更多的第一方和供应链风险打开大门。 剑桥大学研究人员在一篇新发表的论文中说 : “ 这种被称为“特洛伊木马源 攻击 ”的技术“利用了 Unicode 等文本编码标准的微妙之处来生成源代码,其令牌的逻辑编码顺序与其显示顺序不同,从而导致无法直接感知的漏洞由人类代码审查员 。 ” 这些漏洞 会 影响所有流行编程语言的编译器,例如 C 、 C++ 、 C# 、 JavaScript 、 Java 、 Rust 、 Go 和 Python 。 该问题的核心是 Unicode 的双向(或 Bidi )算法,该算法支持从左到右(例如,英语)和从右到左(例如,阿拉伯语或希伯来语)语言,并且还具有所谓的双向性覆盖以允许在从右到左的句子中写入从左到右的单词,反之亦然,从而可以将不同阅读方向的文本嵌入大文本块中。 虽然期望编译器的输出正确实现提供给它的源代码,但通过将 Unicode Bidi 覆盖字符插入注释和字符串而产生的差异可能会产生一种产生语法有效的源代码的场景,其中字符的显示顺序呈现不同的逻辑从实际逻辑来看。 换句话说,攻击通过针对源代码文件的编码来制造有针对性的漏洞,而不是故意引入逻辑错误,以便在视觉上重新排序源代码中的令牌,虽然以完全可接受的方式呈现,但会欺骗编译器进行处理以不同的方式编写代码并彻底改变程序流程——例如,使注释看起来好像它是代码。 “实际上,我们将程序 A 转换为程序 B , ” 研究人员推测道。 “ 如果逻辑上的变化足够微妙以至于在后续测试中未被发现,那么攻击者可能会在不被发现的情况下引入有针对性的漏洞。 ” 研究人员警告说,当注入开源软件的隐形软件漏洞进入下游时,这种对抗性编码会对供应链产生严重影响,可能会影响软件的所有用户。更糟糕的是,如果攻击者使用同形文字重新定义上游包中预先存在的函数并从受害者程序中调用它们,则木马源攻击可能会变得更加严重。 通过用来自其他 Unicode 系列集的相似字符替换拉丁字母(例如,将 “H” 更改为西里尔字母 “Н” ),威胁行为者可以创建一个看似与原始函数相似但实际上包含恶意代码的同形文字函数,然后被添加到开源项目中而不
出于经济动机的 FIN7 网络犯罪团伙伪装成另一家名为 “Bastion Secure” 的虚构网络安全公司,以渗透测试为幌子招募不知情的软件工程师,可能是勒索软件计划的前奏。 Recorded Future 的 Gemini 咨询部门在一份报告中说: “ 借助 FIN7 最新的假公司,犯罪集团利用来自各种合法网络安全公司的真实、公开可用的信息,为 Bastion Secure 创造了一层薄薄的合法性面纱。 ” “FIN7 正在采用虚假信息策略,以便如果潜在雇员或感兴趣的一方要对 Bastion Secure 进行事实检查,那么在谷歌上粗略搜索就会返回与 FIN7 的 Bastion Secure 名称或行业相似的公司的 ‘ 真实 ’ 信息。 ” FIN7 ,也被称为 Carbanak ,碳蜘蛛和 Anunak ,有一个跟踪记录引人注目的餐厅,赌博和酒店业在美国感染点的销售终端( POS )系统的恶意软件旨在收获信用卡和借记卡号码然后在地下市场上使用或出售以获取利润。最新发展表明该集团已扩展到高利润的勒索软件领域。 设立虚假前台公司是 FIN7 的一个久经考验的公式,该公司之前曾与另一家名为 Combi Security 的虚假网络安全公司有关,该公司声称向客户提供渗透测试服务。从这个角度来看, Bastion Secure 是这种策略的延续。 新网站不仅包含从其他合法网络安全公司(主要是 Convergent Network Solutions )编译的窃取内容,运营商还在流行的招聘公告板上为 C++ 、 PHP 和 Python 程序员、系统管理员和逆向工程师宣传了看似真正的招聘机会,提供他们是面试过程中练习作业的几种工具。 对这些工具进行了分析,发现它们是后开发工具包 Carbanak 和 Lizar /Tirion 的组件,这两个工具包之前都属于该组织,可用于破坏 POS 系统和部署勒索软件。 然而,在招聘过程的下一阶段, Bastion Secure 参与犯罪活动变得明显,公司代表提供所谓的客户公司网络的访问权限,并要求潜在候选人收集有关域管理员、文件系统的信息和备份,表明强烈倾向于进行勒索软件攻击。 研究人员说:“ Bastion Sec