亚洲精品不卡久久久久久_色视频线观看在线 _妽妽夹得我好舒服_国产真人一级a爱做片高潮_亚洲aⅴ无码专区在线观看q

當(dāng)前位置: 首頁(yè) >綜合 > 正文

3CX 遭遇“套娃”式供應(yīng)鏈攻擊|全球觀熱點(diǎn)

2023-04-25 10:21:38 來(lái)源:FreeBuf.COM

近期,針對(duì) 3CX 供應(yīng)鏈攻擊事件炒的沸沸揚(yáng)揚(yáng),谷歌旗下 Mandiant 追蹤分析這起網(wǎng)絡(luò)攻擊事件,最終發(fā)現(xiàn)此次攻擊是一起“套娃”式軟件供應(yīng)鏈攻擊。


(資料圖片)

2023 年 3 月 29,網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)針對(duì) 3CX 的“套娃”式供應(yīng)鏈攻擊。當(dāng)時(shí),攻擊者通過(guò)對(duì)上游軟件供應(yīng)商 3CX 的攻擊,將植入了惡意代碼 Win/Mac 的多個(gè)產(chǎn)品版本安裝包托管于官方升級(jí)服務(wù)器,并通過(guò)自動(dòng)升級(jí)過(guò)程分發(fā)至下游客戶(hù),獲得管理員執(zhí)行權(quán)限。

此外,攻擊者通過(guò)下載器 SUDDENICON 提供了一個(gè)名為 ICONIC Stealer 的基于 C/C++ 的數(shù)據(jù)挖掘器,該數(shù)據(jù)挖掘器使用 GitHub 上托管的圖標(biāo)文件來(lái)提取包含該竊取器的服務(wù)器。

美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)在對(duì)惡意軟件分析后表示惡意應(yīng)用程序主要針對(duì) Chrome、Edge、Brave 或 Firefox 瀏覽器,試圖從受害者用戶(hù)的網(wǎng)絡(luò)瀏覽器中竊取敏感信息。至于針對(duì)加密貨幣公司的特定攻擊,攻擊者還部署一個(gè)被稱(chēng)為 Gopuram 的下一代后門(mén),該后門(mén)能夠運(yùn)行額外的命令并與受害者的文件系統(tǒng)進(jìn)行互動(dòng)。

竊取登陸憑證,盜取信息

Mandiant 的調(diào)查結(jié)果顯示,最初含有惡意軟件的是一家名為 Trading Technologies 金融科技公司開(kāi)發(fā)的產(chǎn)品,3CX 的一名員工將該產(chǎn)品下載到了其個(gè)人電腦上。

惡意軟件安裝程序中包含一個(gè)安裝二進(jìn)制文件,該二進(jìn)制文件遺棄了兩個(gè)特洛伊木馬 DLL 和一個(gè)無(wú)害的可執(zhí)行文件,后者用于側(cè)加載一個(gè)偽裝成合法依賴(lài)項(xiàng)的 DLL。

攻擊者利用 SIGFLIP 和 DAVESHELL 等開(kāi)源工具,提取并執(zhí)行 VEILEDSIGNAL(VEILEDSIGNAL 是一個(gè)用 C 語(yǔ)言編寫(xiě)的多階段模塊化后門(mén),能夠發(fā)送數(shù)據(jù),執(zhí)行 shellcode),威脅攻擊者利用 VEILEDSIGNAL 對(duì)該員工個(gè)人電腦的最初破壞,獲得了該員工的公司登錄憑證,兩天后,利用偷來(lái)的憑證,通過(guò) VPN 首次未經(jīng)授權(quán)訪問(wèn)了 3CX 的網(wǎng)絡(luò)。

除確定了受損的 X_TRADER 和 3CXDesktopApp 應(yīng)用程序之間的戰(zhàn)術(shù)相似性外,Mandiant 還發(fā)現(xiàn)威脅攻擊者隨后在 3CX 環(huán)境中進(jìn)行了橫向移動(dòng),破壞了其 Windows 和macOS 的構(gòu)建環(huán)境。

Mandiant 研究人員指出在 Windows 構(gòu)建環(huán)境中,攻擊者部署了一個(gè) TAXHAUL 啟動(dòng)器和 COLDCAT 下載程序,通過(guò) IKEEXT 服務(wù)執(zhí)行 DLL 端加載,并以 LocalSystem 權(quán)限運(yùn)行。在 macOS 構(gòu)建服務(wù)器被 POOLRAT 后門(mén)破壞后,該后門(mén)使用 Launch Daemons 以保持持久性機(jī)制。

注:POOLRAT 之前被威脅情報(bào)公司歸類(lèi)為 SIMPLESEA,是一種 C/C++macOS 植入物,能夠收集基本系統(tǒng)信息并執(zhí)行任意命令,包括執(zhí)行文件操作。

3CX 在 2023 年 4 月 20 日分享的一份更新中表示,公司目前正在采取措施加強(qiáng)內(nèi)部系統(tǒng),并通過(guò)增強(qiáng)產(chǎn)品安全、整合工具以確保其軟件的完整性。此外,公司成立一個(gè)新的網(wǎng)絡(luò)運(yùn)營(yíng)和安全部門(mén),最大限度地降低軟件供應(yīng)鏈中嵌套軟件攻擊的風(fēng)險(xiǎn)。

最后,Mandiant 強(qiáng)調(diào)威脅攻擊者可以創(chuàng)造性地利用網(wǎng)絡(luò)訪問(wèn)來(lái)開(kāi)發(fā)和分發(fā)惡意軟件,并在目標(biāo)網(wǎng)絡(luò)之間移動(dòng),各組織要時(shí)刻保持較高警惕。

參考文章:https://thehackernews.com/2023/04/nk-hackers-employ-matryoshka-doll-style.html

標(biāo)簽:

返回頂部