3CX 确认供应链攻击背后的朝鲜黑客

VoIP 通信公司 3CX 在 11 日证实，一个朝鲜黑客组织是上个月供应链攻击的幕后黑手。

根据 Mandiant 迄今对 3CX 入侵和供应链攻击的调查，他们将该活动归因于一个名为UNC4736的集群。

Mandiant很有把握地评估说，UNC4736与朝鲜有关联。

攻击者用名为 Taxhaul(或TxRLoader) 的恶意软件感染了 3CX 系统，该恶意软件部署了一个由 Mandiant 命名为 Coldcat 的第二阶段恶意软件下载器。

该恶意软件通过合法的 Microsoft Windows 二进制文件通过DLL侧加载实现了在受损系统上的持久性，使其更难被检测到。

此外，它会在系统启动时自动加载到所有受感染的设备上，从而允许攻击者通过互联网进行远程访问。

在 Windows 上，攻击者使用 DLL 侧加载来实现 TAXHAUL 恶意软件的持久性。

该 DLL 是由合法的 Windows 服务 IKEEXT 通过合法的 Windows 二进制文件svchost.exe加载的。

被攻击的 macOS 系统也被名为 Simplesea 的恶意软件入侵，Mandiant 仍在分析该恶意软件，以确定它是否与以前已知的恶意软件家族重叠。

支持的后门命令包括外壳命令执行、文件传输、文件执行、文件管理和配置更新。它还可以用来测试所提供的IP和端口号的连通性。

由 UNC4736 部署在 3CX 网络上的恶意软件连接到受攻击者控制的多个命令和控制(C2)服务器，包括：

azureonlinecloud.com

akamaicontainer.com

journalide.org

msboxonline.com

3CX 尚未透露供应链攻击最初是如何进行的，是其开发环境被破坏还是通过其他方法。

自从攻击首次被披露以来，卡巴斯基还发现，朝鲜支持的 Lazarus 黑客组织至少自2020年以来针对加密货币公司使用的一个名为 Gopuram 的后门也被作为第二阶段有效载荷投放到有限数量的3CX客户的受损设备上。

在3月29日攻击消息浮出水面的一天后，以及在客户开始报告该软件被SentinelOne、CrowdStrike、ESET、Palo Alto Networks和 SonicWall 的安全解决方案标记为恶意软件的一个多星期后，3CX首次确认其基于3CXDesktopApp电子桌面客户端在供应链攻击中受到损害，以部署恶意软件。

该公司建议客户从所有 Windows 和 macOS 设备上卸载受影响的电子桌面客户端，并立即切换到提供类似功能的渐进式网络应用程序(PWA)网络客户端应用程序。

此处提供了批量卸载脚本：

https://www.3cx.com/blog/news/uninstalling-the-desktop-app/

在该事件(追踪为CVE-2023-29059)被披露后，还报告称，威胁行为者利用了一个10年前的Windows漏洞(CVE-2013-3900)，将捆绑有效载荷的恶意dll伪装成合法签名。

安全研究人员还创建了一个基于网络的工具，帮助3CX用户了解2023年3月的供应链攻击是否潜在地影响了他们的IP地址。

https://checkmyoperator.com/

3CX 表示，其 3CX 电话系统被全球超过 60 万家公司和每天超过 1200 万用户使用，客户名单包括美国运通、可口可乐、麦当劳、法航、宜家、英国国家医疗服务体系和多家汽车制造商等知名公司和组织。

原文来源：网络研究院

原文始发于微信公众号（关键基础设施安全应急响应中心）：3CX 确认供应链攻击背后的朝鲜黑客