成都創(chuàng)新互聯(lián)公司服務項目包括永定網(wǎng)站建設����、永定網(wǎng)站制作、永定網(wǎng)頁制作以及永定網(wǎng)絡營銷策劃等。多年來,我們專注于互聯(lián)網(wǎng)行業(yè)���,利用自身積累的技術優(yōu)勢、行業(yè)經(jīng)驗���、深度合作伙伴關系等�,向廣大中小型企業(yè)、政府機構等提供互聯(lián)網(wǎng)行業(yè)的解決方案����,永定網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前���,我們服務的客戶以成都為中心已經(jīng)輻射到永定省份的部分城市����,未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任�����!
近期��,針對 3CX 供應鏈攻擊事件炒的沸沸揚揚���,谷歌旗下 Mandiant 追蹤分析這起網(wǎng)絡攻擊事件,最終發(fā)現(xiàn)此次攻擊是一起“套娃”式軟件供應鏈攻擊��。
2023 年 3 月 29�,網(wǎng)絡安全研究人員發(fā)現(xiàn)針對 3CX 的“套娃”式供應鏈攻擊。當時�,攻擊者通過對上游軟件供應商 3CX 的攻擊�,將植入了惡意代碼 Win/Mac 的多個產(chǎn)品版本安裝包托管于官方升級服務器�,并通過自動升級過程分發(fā)至下游客戶,獲得管理員執(zhí)行權限�����。
此外����,攻擊者通過下載器 SUDDENICON 提供了一個名為 ICONIC Stealer 的基于 C/C++ 的數(shù)據(jù)挖掘器,該數(shù)據(jù)挖掘器使用 GitHub 上托管的圖標文件來提取包含該竊取器的服務器���。
美國網(wǎng)絡安全和基礎設施安全局(CISA)在對惡意軟件分析后表示惡意應用程序主要針對 Chrome���、Edge、Brave 或 Firefox 瀏覽器����,試圖從受害者用戶的網(wǎng)絡瀏覽器中竊取敏感信息。至于針對加密貨幣公司的特定攻擊�����,攻擊者還部署一個被稱為 Gopuram 的下一代后門���,該后門能夠運行額外的命令并與受害者的文件系統(tǒng)進行互動��。
竊取登陸憑證�����,盜取信息
Mandiant 的調查結果顯示�����,最初含有惡意軟件的是一家名為 Trading Technologies 金融科技公司開發(fā)的產(chǎn)品�,3CX 的一名員工將該產(chǎn)品下載到了其個人電腦上。
惡意軟件安裝程序中包含一個安裝二進制文件���,該二進制文件遺棄了兩個特洛伊木馬 DLL 和一個無害的可執(zhí)行文件,后者用于側加載一個偽裝成合法依賴項的 DLL��。
攻擊者利用 SIGFLIP 和 DAVESHELL 等開源工具�����,提取并執(zhí)行 VEILEDSIGNAL(VEILEDSIGNAL 是一個用 C 語言編寫的多階段模塊化后門��,能夠發(fā)送數(shù)據(jù)���,執(zhí)行 shellcode)��,威脅攻擊者利用 VEILEDSIGNAL 對該員工個人電腦的最初破壞�����,獲得了該員工的公司登錄憑證����,兩天后,利用偷來的憑證�,通過 VPN 首次未經(jīng)授權訪問了 3CX 的網(wǎng)絡。
除確定了受損的 X_TRADER 和 3CXDesktopApp 應用程序之間的戰(zhàn)術相似性外����,Mandiant 還發(fā)現(xiàn)威脅攻擊者隨后在 3CX 環(huán)境中進行了橫向移動,破壞了其 Windows 和macOS 的構建環(huán)境�����。
Mandiant 研究人員指出在 Windows 構建環(huán)境中����,攻擊者部署了一個 TAXHAUL 啟動器和 COLDCAT 下載程序,通過 IKEEXT 服務執(zhí)行 DLL 端加載����,并以 LocalSystem 權限運行���。在 macOS 構建服務器被 POOLRAT 后門破壞后,該后門使用 Launch Daemons 以保持持久性機制�。
注:POOLRAT 之前被威脅情報公司歸類為 SIMPLESEA,是一種 C/C++macOS 植入物�����,能夠收集基本系統(tǒng)信息并執(zhí)行任意命令���,包括執(zhí)行文件操作��。
3CX 在 2023 年 4 月 20 日分享的一份更新中表示�,公司目前正在采取措施加強內部系統(tǒng)��,并通過增強產(chǎn)品安全�����、整合工具以確保其軟件的完整性�����。此外��,公司成立一個新的網(wǎng)絡運營和安全部門���,最大限度地降低軟件供應鏈中嵌套軟件攻擊的風險���。
最后,Mandiant 強調威脅攻擊者可以創(chuàng)造性地利用網(wǎng)絡訪問來開發(fā)和分發(fā)惡意軟件�,并在目標網(wǎng)絡之間移動,各組織要時刻保持較高警惕��。
參考文章:https://thehackernews.com/2023/04/nk-hackers-employ-matryoshka-doll-style.html
名稱欄目:3CX遭遇“套娃”式供應鏈攻擊
網(wǎng)站URL:
http://uogjgqi.cn/article/dhsdees.html
