3CX 遭遇“套娃”式供应链攻击

安全
谷歌旗下 Mandiant 追踪分析这起网络攻击事件,最终发现此次攻击是一起“套娃”式软件供应链攻击。

近期,针对 3CX 供应链攻击事件炒的沸沸扬扬,谷歌旗下 Mandiant 追踪分析这起网络攻击事件,最终发现此次攻击是一起“套娃”式软件供应链攻击。

2023 年 3 月 29,网络安全研究人员发现针对 3CX 的“套娃”式供应链攻击。当时,攻击者通过对上游软件供应商 3CX 的攻击,将植入了恶意代码 Win/Mac 的多个产品版本安装包托管于官方升级服务器,并通过自动升级过程分发至下游客户,获得管理员执行权限。

此外,攻击者通过下载器 SUDDENICON 提供了一个名为 ICONIC Stealer 的基于 C/C++ 的数据挖掘器,该数据挖掘器使用 GitHub 上托管的图标文件来提取包含该窃取器的服务器。

美国网络安全和基础设施安全局(CISA)在对恶意软件分析后表示恶意应用程序主要针对 Chrome、Edge、Brave 或 Firefox 浏览器,试图从受害者用户的网络浏览器中窃取敏感信息。至于针对加密货币公司的特定攻击,攻击者还部署一个被称为 Gopuram 的下一代后门,该后门能够运行额外的命令并与受害者的文件系统进行互动。

窃取登陆凭证,盗取信息

Mandiant 的调查结果显示,最初含有恶意软件的是一家名为 Trading Technologies 金融科技公司开发的产品,3CX 的一名员工将该产品下载到了其个人电脑上。

恶意软件安装程序中包含一个安装二进制文件,该二进制文件遗弃了两个特洛伊木马 DLL 和一个无害的可执行文件,后者用于侧加载一个伪装成合法依赖项的 DLL。

攻击者利用 SIGFLIP 和 DAVESHELL 等开源工具,提取并执行 VEILEDSIGNAL(VEILEDSIGNAL 是一个用 C 语言编写的多阶段模块化后门,能够发送数据,执行 shellcode),威胁攻击者利用 VEILEDSIGNAL 对该员工个人电脑的最初破坏,获得了该员工的公司登录凭证,两天后,利用偷来的凭证,通过 VPN 首次未经授权访问了 3CX 的网络。

1682325326_64463f4e8ecddabffe6d5.png!small?1682325326280

除确定了受损的 X_TRADER 和 3CXDesktopApp 应用程序之间的战术相似性外,Mandiant 还发现威胁攻击者随后在 3CX 环境中进行了横向移动,破坏了其 Windows 和macOS 的构建环境。

Mandiant 研究人员指出在 Windows 构建环境中,攻击者部署了一个 TAXHAUL 启动器和 COLDCAT 下载程序,通过 IKEEXT 服务执行 DLL 端加载,并以 LocalSystem 权限运行。在 macOS 构建服务器被 POOLRAT 后门破坏后,该后门使用 Launch Daemons 以保持持久性机制。

注:POOLRAT 之前被威胁情报公司归类为 SIMPLESEA,是一种 C/C++macOS 植入物,能够收集基本系统信息并执行任意命令,包括执行文件操作。

3CX 在 2023 年 4 月 20 日分享的一份更新中表示,公司目前正在采取措施加强内部系统,并通过增强产品安全、整合工具以确保其软件的完整性。此外,公司成立一个新的网络运营和安全部门,最大限度地降低软件供应链中嵌套软件攻击的风险。

最后,Mandiant 强调威胁攻击者可以创造性地利用网络访问来开发和分发恶意软件,并在目标网络之间移动,各组织要时刻保持较高警惕。

参考文章:https://thehackernews.com/2023/04/nk-hackers-employ-matryoshka-doll-style.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-04-02 21:10:17

2021-07-04 10:38:13

REvil勒索软件供应链攻击

2022-04-13 14:49:59

安全供应链Go

2023-02-23 07:52:20

2022-04-06 10:12:51

Go供应链攻击风险

2021-04-25 15:49:06

拜登黑客攻击

2021-09-12 14:38:41

SolarWinds供应链攻击Autodesk

2021-05-11 11:11:00

漏洞网络安全网络攻击

2021-09-16 14:59:18

供应链攻击漏洞网络攻击

2022-03-14 14:37:53

网络攻击供应链攻击漏洞

2020-06-01 08:45:17

GitHub代码开发者

2020-12-24 11:09:44

VMwareCiscoSolarWinds

2021-01-06 19:07:26

网络安全供应链攻击黑客

2022-07-18 17:00:00

网络安全数据供应链

2023-11-02 12:13:08

2020-12-31 11:02:47

网络钓鱼漏洞攻击

2022-02-21 10:12:20

供应链攻击网络攻击

2023-01-11 00:05:58

2022-04-26 10:47:15

智能供应链供应链

2020-04-20 14:36:08

恶意软件攻击比特币
点赞
收藏

51CTO技术栈公众号