安全企业Aikido Security研究人员在Java生态常用的公开组件存储库Maven Central,发现一个仿冒Jackson的恶意组件,其唯一识别字符串为org.fasterxml.jackson.core:jackson-databind,字符串刻意贴近开发者熟悉的Jackson相依组件,借此诱骗下载恶意组件。研究人员已将相关域名通报给GoDaddy并向Maven Central回应,该组件也约在1.5小时内下架。
正牌Jackson常见发布命名空间为com.fasterxml.jackson.core,攻击者则改用仅一字之差的org.fasterxml.jackson.core,利用com与org前缀互换混淆视听。研究团队也观察到攻击基础设施采用相同手法,以fasterxml.org对照正牌fasterxml.com,降低开发者在仓促查看时发现异常的机率。
冒牌Jackson为具多阶段投放特征的下载器,其程序代码经混淆处理,并包含用来干扰自动化分析的设计。当项目采用Java应用程序开发框架Spring Boot时,恶意组件会伪装成框架常见的自动设置组件,利用启动时的扫描与加载流程,在应用程序启动后自动触发执行,开发者不需要在程序代码中主动调用即可被带入执行路径。
一旦触发后,恶意程序会连接至攻击者控制的C2端点下载设置,再依操作系统下载对应的可执行文件并在本机执行,并创建特定文件作为标记,降低重复执行时被发现的机会。研究人员在分析中强调,攻击者刻意提供跨平台投放能力,并以多层混淆与加密字符串增加逆向成本。
研究人员将其取得Linux与macOS的样本后提交至VirusTotal,多数侦测引擎将其识别为Cobalt Strike的Beacon程序。Cobalt Strike原本是商用渗透测试工具,常被攻击者挪作远程控制与后续渗透的工具,研究人员提醒,这类恶意载荷如果被识别为Cobalt Strike Beacon,往往意味着攻击者具备远程控制与后续渗透的能力,攻击目的也可能不只停留在一次性行为。
