关于LNMP供应链投毒事件风险提示

关于LNMP供应链投毒事件风险提示

近日，安恒信息CERT监测到一起LNMP遭受供应链投毒攻击事件。我们发现，在lnmp.org官方网站下载的安装包中被植入了恶意程序。
至今，大部分威胁情报平台尚未标记相关的恶意IoC情报。建议近期在lnmp.org官网下载并部署LNMP的RedHat系统用户进行自查。

其中lnmp.sh是被植入的恶意二进制程序，执行后首先会判断系统是否为RedHat服务器，随后从download.lnmp.life下载并解压恶意文件至/var/local/cron，通过crond服务实现持久化。
通过crond进程建立DNS隧道通信。

自查方法

1、检查下载安装程序文件的MD5值是否与官网一致
文件名：lnmp2.0.tar.gz
正常文件MD5：
1236630dcea1c5a617eb7a2ed6c457ed

被投毒文件MD5：
40bdcf7fd65a035fe17ee860c3d2bd6e

2、检查/usr/sbin/crond文件完整性，检查/usr/sbin/crond文件近期是否被更改：

stat /usr/sbin/crond

rpm -Vf /usr/sbin/crond

通过rpm检查/usr/sbin/crond文件完整性

安恒信息CERT

2023年9月

原文链接：https://mp.weixin.qq.com/s/OT7C1l5rjBNCawFXRIUJOQ