VoIP 通信公司 3CX 在 11 日证实,一个朝鲜黑客组织是上个月供应链攻击的幕后黑手。
根据 Mandiant 迄今对 3CX 入侵和供应链攻击的调查,他们将该活动归因于一个名为UNC4736的集群。
Mandiant很有把握地评估说,UNC4736与朝鲜有关联。
攻击者用名为 Taxhaul(或TxRLoader) 的恶意软件感染了 3CX 系统,该恶意软件部署了一个由 Mandiant 命名为 Coldcat 的第二阶段恶意软件下载器。
该恶意软件通过合法的 Microsoft Windows 二进制文件通过DLL侧加载实现了在受损系统上的持久性,使其更难被检测到。
此外,它会在系统启动时自动加载到所有受感染的设备上,从而允许攻击者通过互联网进行远程访问。
在 Windows 上,攻击者使用 DLL 侧加载来实现 TAXHAUL 恶意软件的持久性。
该 DLL 是由合法的 Windows 服务 IKEEXT 通过合法的 Windows 二进制文件svchost.exe加载的。
被攻击的 macOS 系统也被名为 Simplesea 的恶意软件入侵,Mandiant 仍在分析该恶意软件,以确定它是否与以前已知的恶意软件家族重叠。
支持的后门命令包括外壳命令执行、文件传输、文件执行、文件管理和配置更新。它还可以用来测试所提供的IP和端口号的连通性。
由 UNC4736 部署在 3CX 网络上的恶意软件连接到受攻击者控制的多个命令和控制(C2)服务器,包括:
azureonlinecloud.com
akamaicontainer.com
journalide.org
msboxonline.com
3CX 尚未透露供应链攻击最初是如何进行的,是其开发环境被破坏还是通过其他方法。
自从攻击首次被披露以来,卡巴斯基还发现,朝鲜支持的 Lazarus 黑客组织至少自2020年以来针对加密货币公司使用的一个名为 Gopuram 的后门也被作为第二阶段有效载荷投放到有限数量的3CX客户的受损设备上。
在3月29日攻击消息浮出水面的一天后,以及在客户开始报告该软件被SentinelOne、CrowdStrike、ESET、Palo Alto Networks和 SonicWall 的安全解决方案标记为恶意软件的一个多星期后,3CX首次确认其基于3CXDesktopApp电子桌面客户端在供应链攻击中受到损害,以部署恶意软件。
该公司建议客户从所有 Windows 和 macOS 设备上卸载受影响的电子桌面客户端,并立即切换到提供类似功能的渐进式网络应用程序(PWA)网络客户端应用程序。
此处提供了批量卸载脚本:
https://www.3cx.com/blog/news/uninstalling-the-desktop-app/
在该事件(追踪为CVE-2023-29059)被披露后,还报告称,威胁行为者利用了一个10年前的Windows漏洞(CVE-2013-3900),将捆绑有效载荷的恶意dll伪装成合法签名。
安全研究人员还创建了一个基于网络的工具,帮助3CX用户了解2023年3月的供应链攻击是否潜在地影响了他们的IP地址。
https://checkmyoperator.com/
3CX 表示,其 3CX 电话系统被全球超过 60 万家公司和每天超过 1200 万用户使用,客户名单包括美国运通、可口可乐、麦当劳、法航、宜家、英国国家医疗服务体系和多家汽车制造商等知名公司和组织。
原文来源:网络研究院
原文始发于微信公众号(关键基础设施安全应急响应中心):3CX 确认供应链攻击背后的朝鲜黑客
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论