针对3CX双供应链攻击事件的深度分析与溯源

去年3CX供应链攻击事件经过半个多月的分析取证调查，Mandiant最终发布了3CX供应链攻击事件的详细调查报告，链接如下：

https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise

该报告指出3CX供应链攻击的初始源头为另外一起供应链攻击事件X_TRADER，这应该是全球发现的首例“双供应链”攻击事件，随后Symantec发布了X_TRADER供应链攻击事件的相关分析报告，链接如下：

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain

该攻击事件涉及到的内容其实非常多，国外厂商发布的调查报告里很多细节没有讲特别清楚，Mandiant将该起事件命名为UNC4736攻击活动，与朝鲜APT攻击组织有关，同时多方证据显示3CX供应链攻击事件的背后APT组织，大概率就是Lazarus APT黑客组织，笔者没有机会参与此次事件的调查分析，基于各大安全厂商发布的相关报告，详细分析溯源了多个攻击事件包含的上百个不同的攻击样本，这些样本包含Windows,Linux,macOS等多个平台，通过一点一点的抽丝剥茧，并参考国外厂商发布的相关报告，对此次3CX双供应链攻击事件进行了深度的分析与溯源。

APT分析溯源是一件非常复杂困难的工作，需要安全分析人员拥有很强的专业知识和技术积累，同时也需要花费很多时间和精力，但这又是一项很有挑战性又非常有趣的安全工作，笔者通过从此次攻击事件中涉及到的所有样本以及其他攻击事件中相关联样本，并参考各大安全厂商发布的报告，如何一步一步定位到该攻击活动可能与Lazarus APT有关，下面让我们开始吧。

原文始发于微信公众号（安全分析与研究）：针对3CX双供应链攻击事件的深度分析与溯源