相关链接:企业语音和视频会议软件供应商3CX证实遭遇供应链攻击,幕后黑手疑似朝鲜APT组织https://www.securityweek.com/3cx-confirms-supply-chain-
企业通信软件制造商 3CX 周四证实,其 Windows 和 macOS 桌面应用程序的多个版本受到供应链攻击的影响。
版本号包括Windows 的18.12.407 和 18.12.416以及macOS 的18.11.1213、18.12.402、18.12.407 和 18.12.416 。
该公司表示,它正在聘请谷歌旗下的 Mandiant 来审查这一事件。在此期间,它敦促其自托管和本地版本软件的客户更新到 18.12.422 版。
“3CX Hosted 和 StartUP 用户不需要更新他们的服务器,供应商会自动更新它们。”3CX 首席执行官 Nick Galea在博客文章中说。“服务器将重新启动,新的 Electron App MSI/DMG 将安装在服务器上。”
目前可用的证据表明,要么是 3CX 的软件构建管道被入侵以分发 Windows 和 macOS 版本的应用程序包,要么是上游依赖项中毒,攻击的规模目前未知。
Fortinet 共享的遥测数据显示,已知攻击者控制的基础设施的地理分布主要分布在意大利、德国、奥地利、美国、南非、澳大利亚、瑞士、荷兰、加拿大和英国。
根据3CX 论坛上的一篇帖子,据说最早的潜在恶意活动是在 2023 年 3 月 22 日左右检测到,尽管复杂活动的准备工作不迟于 2022 年 2 月开始。
3CX最初表示,上周在其应用程序中标记潜在安全问题的初始警报被视为“误报”,因为 VirusTotal 上的防病毒引擎均未将其标记为可疑或恶意软件。
Windows版本的攻击利用被称为 DLL 侧加载技术——名为“ffmpeg.dll”的恶意库文件被加载,该库旨在从另一个名为“d3dcompiler_47.dll”的 DLL 中读取加密的 shellcode。
![3CX供应链攻击事件报告——目前所知道的](https://www.idoola.cn/uploadfile/202306/14cb5ce286cda7c.jpg)
SUDDENICON 下载新的可执行文件
这涉及访问 GitHub 存储库以检索包含托管最终阶段有效负载的 URL 的ICO 文件,这是一个信息窃取木马(称为ICONIC Stealer或SUDDENICON),能够收集系统信息和存储在网络浏览器中的敏感数据。
英国网络安全供应商 Sophos指出,攻击中使用的shellcode与之前在完全归因于 Lazarus Group 的事件中看到的样本“逐字节匹配”。
ReversingLabs 安全研究员 Karlo Zanki表示:“背后的攻击者选择这两个 DLL——ffmpeg 和 d3dcompiler_47 并非偶然。”
“有问题的目标 3CXDesktopApp 是建立在 Electron 开源框架之上的。这两个有问题的库通常都带有 Electron 运行时,因此不太可能在客户环境中引起怀疑。”
![3CX供应链攻击事件报告——目前所知道的](https://www.idoola.cn/uploadfile/202306/ff52b4981ec77e0.jpg)
同样,macOS 攻击链绕过 Apple 的安全检查,从当前无响应的命令和控制 (C2) 服务器下载未知有效载荷。
“macOS 版本不使用 GitHub 检索其 C2 服务器。”Volexity说,它正在跟踪集群 UTA0040 下的活动。“相反,C2 服务器列表存储在用单字节 XOR 密钥 0x7A 编码的文件中。”
网络安全公司 CrowdStrike 在其一份分析报告中高度自信地将此次攻击归因于 Labyrinth Chollima(又名Nickel Academy),这是一位与朝鲜背景相关的专业APT组织。
“该活动针对广泛垂直领域的许多组织,没有任何明显的模式,根据观察到的与该对手唯一相关的网络基础设施、类似的安装技术和重复使用的 RC4 密钥,将其归因于 Labyrinth Chollima。”Adam Meyers, CrowdStrike 的高级情报副总裁告诉Hacknews。
“木马化的 3CX 应用程序调用了 ArcfeedLoader 的变体,这是唯一归因于 Labyrinth Chollima 的恶意软件。”
根据这家总部位于德克萨斯州的安全研究机构提供的报告,Labyrinth Chollima 是Lazarus Group的子集,该集团还包括Silent Chollima(又名 Andariel 或 Nickel Hyatt)和Stardust Chollima(又名 BlueNoroff 或 Nickel Gladstone)。
该组织“至少自 2009 年以来一直活跃,通常试图通过针对加密货币和金融组织来创收。”迈耶斯说,该组织“可能隶属于朝鲜侦察总局(RGB)的第 121 局,主要从事间谍活动和创收计划。”
3CX 在周五分享的更新中表示,谷歌已禁止通过其 Chrome 网络浏览器下载恶意MSI安装程序文件。它还指出,来自几家公司的防病毒引擎正在阻止任何使用旧安全证书签名的软件。
以下 MSI 安装程序已被阻止:SBC for Windows、Windows 桌面应用程序和 Call Flow Designer。但是,有迹象表明该限制可能已经解除,因为一些客户报告可以通过 Chrome 下载最新版本 (18.12.422)。
作为回应,该公司表示正在使用新证书和新构建服务器制作新的 MSI 安装程序,预计这一过程至少需要八个小时。它进一步鼓励其客户改用网络应用程序 (PWA) 版本。
相关链接:
企业语音和视频会议软件供应商3CX证实遭遇供应链攻击,幕后黑手疑似朝鲜APT组织
https://www.securityweek.com/3cx-confirms-supply-chain-attack-as-researchers-uncover-mac-component/
在 3CX 攻击中,一个已有 10 年历史的 Windows 漏洞仍被利用
https://www.bleepingcomputer.com/news/microsoft/10-year-old-windows-bug-with-opt-in-fix-exploited-in-3cx-attack/
Mandiant 调查 3CX 黑客攻击,有证据表明攻击者已经访问了几个月
https://www.securityweek.com/mandiant-investigating-3cx-hack-as-evidence-shows-attackers-had-access-for-months/
更多证据表明 3CX 供应链攻击与朝鲜黑客组织有关
https://therecord.media/3cx-attack-north-korea-lazarus-group
研究人员发现 Mac 组件,3CX 证实供应链受到攻击
https://www.securityweek.com/3cx-confirms-supply-chain-attack-as-researchers-uncover-mac-component/