朝鲜黑客利用3CX漏洞大规模攻击供应链用户

1年前发布

0560

Data protection, binary code with North Korea flag

代表朝鲜政府的黑客进行了一次大规模供应链攻击，针对广泛使用的语音和视频桌面客户端3CX的Windows和macOS用户。多家安全公司的研究人员表示，通过尚不清楚的手段，攻击成功分发了该应用程序的Windows和macOS版本，该应用程序为“600,000+客户”提供VoIP和PBX服务，包括美国运通、梅赛德斯-奔驰和普华永道等公司。攻击者以某种方式获得了在使用公司官方签名密钥签署数字证书后隐藏恶意软件于3CX应用程序中的能力。据macOS安全专家Patrick Wardle称，苹果还对macOS版本进行了公证处理，并检测到没有恶意功能。

“这是一种经典的供应链攻击，旨在利用组织与外部方之间的信任关系，” Check Point Software威胁情报和研究主管Lotem Finkelstein在一封电子邮件中说道。“这包括与供应商的合作伙伴关系或使用第三方软件，在某种程度上大多数企业都依赖于它。此事件提醒我们要非常重视进行商务往来时所需进行的尽职调查。”
安全公司CrowdStrike表示，该攻击中使用的基础设施和加密密钥与3月7日由迷宫朝鲜（Labyrinth Chollima）执行的活动相匹配，迷宫朝鲜是一个与朝鲜政府相关联的威胁行为者跟踪名称。

袭击事件于周三晚间曝光，当时来自各种安全公司的产品开始检测到从合法签名的3CX桌面应用程序二进制文件中发现恶意活动。该复杂操作的准备工作最迟在2022年2月进行，威胁行为者注册了一组广泛的域名用于与感染设备通信。到3月22日，安全公司Sentinel One看到了3CXDesktopApp行为检测数量激增。同一天，3CX用户开始在线讨论他们认为是终端安全应用程序可能出现误报检测结果的问题。

3CX首席信息安全官皮埃尔·乔丹已经确认Electron Windows App版本号18.12.407和18.12.416以及Electron Mac App版本号18.11.1213、18.12.402、18.12.407和18.12 .416存在“安全问题”。他说负载被插入通过Git编译的捆绑库中，Git是软件开发人员用来跟踪他们生产的应用程序变化的系统。他补充说，许多受攻击控制服务器已经关闭并不再对感染机器进行响应。

这起事件让人想起了2020年12月发现的一次供应链攻击，该攻击针对SolarWinds网络管理软件的用户。美国政府和多个安全研究机构将此次攻击归因于Cozy Bear，这是一个被认为是俄罗斯联邦安全局（FSB）黑客组织的追踪名称之一。

就像3CX一样，SolarWinds黑客能够分发一个数字签名的后门更新给大约18,000个客户。其中大约有100个客户接收到了后续攻击，使用该后门安装了第二阶段载荷。受害者包括技术公司Malwarebytes、FireEye和Microsoft；10个美国政府机构，包括司法部、商务部、财政部、能源部和国土安全部以及智库和非政府组织，使得这次黑客攻击成为现代美国历史上最严重的之一。

赛门铁克的初步分析表明，Windows和Mac的受损安装程序包含了干净版本的应用程序及其所有正常功能，使最终用户无法怀疑有任何问题。攻击者通过一种称为DLL侧载技术添加了额外的有效负载，从而增加了恶意功能，Sophos表示。

有效载荷被加密并包含其他防御措施，旨在防止检测或分析。它会导致感染的机器向操作者控制的服务器发送信标，并根据未知标准将第二阶段有效载荷部署到特定目标上，CrowdStrike表示。在少数情况下，攻击者对受感染的计算机进行了“手动键盘活动”。就木马化的Windows版本而言，CheckPoint的研究人员称，攻击者使用一个由3CX签名的MSI可执行文件来加载一个名为ffmmpeg.dll 的恶意文件。该文件被修改以从另一个名为d3dcompiler_47.dll 的文件中读取加密数据。后面这个文件从GitHub存档中提取编码列表URLs 。然后DLL 文件使用该列表从其中之一下载和运行最终有效载荷。 “与GitHub通信的重要点是，在实际请求GitHub之前，在代码中设置了一周延迟。” CheckPoint研究人员写道。“完成此步骤后，将从这些URLs之一下载最终有效负载并执行。” CheckPoint提供了以下Windows感染链示意图：

图片[2]-朝鲜黑客利用3CX漏洞大规模攻击供应链用户-弦外音