近期,针对 3CX 供应链攻击事件炒的沸沸扬扬,谷歌旗下 Mandiant 追踪分析这起网络攻击事件,最终发现此次攻击是一起“套娃”式软件供应链攻击。
2023 年 3 月 29,网络安全研究人员发现针对 3CX 的“套娃”式供应链攻击。当时,攻击者通过对上游软件供应商 3CX 的攻击,将植入了恶意代码 Win/Mac 的多个产品版本安装包托管于官方升级服务器,并通过自动升级过程分发至下游客户,获得管理员执行权限。
此外,攻击者通过下载器 SUDDENICON 提供了一个名为 ICONIC Stealer 的基于 C/C++ 的数据挖掘器,该数据挖掘器使用 GitHub 上托管的图标文件来提取包含该窃取器的服务器。
美国网络安全和基础设施安全局(CISA)在对恶意软件分析后表示恶意应用程序主要针对 Chrome、Edge、Brave 或 Firefox 浏览器,试图从受害者用户的网络浏览器中窃取敏感信息。至于针对加密货币公司的特定攻击,攻击者还部署一个被称为 Gopuram 的下一代后门,该后门能够运行额外的命令并与受害者的文件系统进行互动。
Mandiant 的调查结果显示,最初含有恶意软件的是一家名为 Trading Technologies 金融科技公司开发的产品,3CX 的一名员工将该产品下载到了其个人电脑上。
恶意软件安装程序中包含一个安装二进制文件,该二进制文件遗弃了两个特洛伊木马 DLL 和一个无害的可执行文件,后者用于侧加载一个伪装成合法依赖项的 DLL。
攻击者利用 SIGFLIP 和 DAVESHELL 等开源工具,提取并执行 VEILEDSIGNAL(VEILEDSIGNAL 是一个用 C 语言编写的多阶段模块化后门,能够发送数据,执行 shellcode),威胁攻击者利用 VEILEDSIGNAL 对该员工个人电脑的最初破坏,获得了该员工的公司登录凭证,两天后,利用偷来的凭证,通过 VPN 首次未经授权访问了 3CX 的网络。
除确定了受损的 X_TRADER 和 3CXDesktopApp 应用程序之间的战术相似性外,Mandiant 还发现威胁攻击者随后在 3CX 环境中进行了横向移动,破坏了其 Windows 和macOS 的构建环境。
Mandiant 研究人员指出在 Windows 构建环境中,攻击者部署了一个 TAXHAUL 启动器和 COLDCAT 下载程序,通过 IKEEXT 服务执行 DLL 端加载,并以 LocalSystem 权限运行。在 macOS 构建服务器被 POOLRAT 后门破坏后,该后门使用 Launch Daemons 以保持持久性机制。
注:POOLRAT 之前被威胁情报公司归类为 SIMPLESEA,是一种 C/C++macOS 植入物,能够收集基本系统信息并执行任意命令,包括执行文件操作。
3CX 在 2023 年 4 月 20 日分享的一份更新中表示,公司目前正在采取措施加强内部系统,并通过增强产品安全、整合工具以确保其软件的完整性。此外,公司成立一个新的网络运营和安全部门,最大限度地降低软件供应链中嵌套软件攻击的风险。
最后,Mandiant 强调威胁攻击者可以创造性地利用网络访问来开发和分发恶意软件,并在目标网络之间移动,各组织要时刻保持较高警惕。
参考文章:
https://thehackernews.com/2023/04/nk-hackers-employ-matryoshka-doll-style.html