调查黑客如何针对企业电话提供商 3CX 实施复杂供应链攻击的事件响应人员表示,该公司受到另一次供应链攻击的损害。
3CX 开发了一种基于软件的电话系统,全球超过 600,000 家组织使用该系统,每日活跃用户超过 1200 万,该公司与网络安全公司 Mandiant 合作调查了这一事件。 Mandiant 在周四发布的报告中表示,攻击者使用由 Trading Technologies 开发的带有恶意软件的 X_Trader 金融软件版本破坏了 3CX。
X_Trader 是交易员用来查看实时和历史市场的平台,Trading Technologies 已于 2020 年逐步淘汰该平台,但 Mandiant 表示仍可在 2022 年从公司网站下载。
Mandiant 表示,它怀疑 Trading Technologies 网站遭到了一群朝鲜国家支持的黑客攻击,该黑客被称为 UNC4736。
这得到了谷歌威胁分析小组去年的一份报告的支持,该报告证实,Trading Technologies 的网站在 2022 年 2 月遭到入侵,这是朝鲜针对数十名加密货币和金融科技用户的行动的一部分。美国网络安全机构 CISA表示,该黑客组织已使用其定制的“AppleJeus”恶意软件从 30 多个国家/地区的受害者那里窃取加密货币。
Mandiant 的调查发现,一名 3CX 员工于 2022 年 4 月从 Trading Technologies 的网站下载了受感染版本的 X_Trader 软件,黑客使用该公司当时有效的代码签名证书对其进行了数字签名,使其看起来像是合法的。
一旦安装,该软件就会在员工的设备上植入一个后门,让攻击者能够完全访问受感染的系统。然后使用此访问权限在 3CX 的网络中横向移动,并最终破坏 3CX 的旗舰桌面电话应用程序,以在其客户的企业网络中植入信息窃取恶意软件。
Mandiant 的首席技术官 Charles Carmakal 说:“这对我们来说很值得注意,因为这是我们第一次发现软件供应链攻击导致另一次供应链攻击的具体证据。” “这一系列耦合的供应链攻击恰恰说明了朝鲜威胁行为者不断增强的网络攻击网络能力。”
Mandiant 表示,它已于 4 月 11 日通知 Trading Technologies 有关妥协的信息,但表示不知道有多少用户受到影响。
Trading Technologies 发言人 Ellen Resnick 告诉 TechCrunch,该公司尚未验证 Mandiant 的调查结果,并重申其将在 2020 年停止支持该软件。
Mandiant 的 Carmakel 补充说,与这两次供应链攻击有关的“更多受害者”可能会在未来几周和几个月内为人所知。
3CX 的供应链攻击是由…… Carly Page最初发布在TechCrunch上的另一项供应链攻击引起的
原文: https://techcrunch.com/2023/04/20/3cx-supply-chain-xtrader-mandiant/