近期，針對 3CX 供應(yīng)鏈攻擊事件炒的沸沸揚(yáng)揚(yáng)，谷歌旗下 Mandiant 追蹤分析這起網(wǎng)絡(luò)攻擊事件，最終發(fā)現(xiàn)此次攻擊是一起“套娃”式軟件供應(yīng)鏈攻擊。

2023 年 3 月 29，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)針對 3CX 的“套娃”式供應(yīng)鏈攻擊。當(dāng)時，攻擊者通過對上游軟件供應(yīng)商 3CX 的攻擊，將植入了惡意代碼 Win/Mac 的多個產(chǎn)品版本安裝包托管于官方升級服務(wù)器，并通過自動升級過程分發(fā)至下游客戶，獲得管理員執(zhí)行權(quán)限。

此外，攻擊者通過下載器 SUDDENICON 提供了一個名為 ICONIC Stealer 的基于 C/C++ 的數(shù)據(jù)挖掘器，該數(shù)據(jù)挖掘器使用 GitHub 上托管的圖標(biāo)文件來提取包含該竊取器的服務(wù)器。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）在對惡意軟件分析后表示惡意應(yīng)用程序主要針對 Chrome、Edge、Brave 或 Firefox 瀏覽器，試圖從受害者用戶的網(wǎng)絡(luò)瀏覽器中竊取敏感信息。至于針對加密貨幣公司的特定攻擊，攻擊者還部署一個被稱為 Gopuram 的下一代后門，該后門能夠運(yùn)行額外的命令并與受害者的文件系統(tǒng)進(jìn)行互動。

竊取登陸憑證，盜取信息

Mandiant 的調(diào)查結(jié)果顯示，最初含有惡意軟件的是一家名為 Trading Technologies 金融科技公司開發(fā)的產(chǎn)品，3CX 的一名員工將該產(chǎn)品下載到了其個人電腦上。

惡意軟件安裝程序中包含一個安裝二進(jìn)制文件，該二進(jìn)制文件遺棄了兩個特洛伊木馬 DLL 和一個無害的可執(zhí)行文件，后者用于側(cè)加載一個偽裝成合法依賴項(xiàng)的 DLL。

攻擊者利用 SIGFLIP 和 DAVESHELL 等開源工具，提取并執(zhí)行 VEILEDSIGNAL（VEILEDSIGNAL 是一個用 C 語言編寫的多階段模塊化后門，能夠發(fā)送數(shù)據(jù)，執(zhí)行 shellcode），威脅攻擊者利用 VEILEDSIGNAL 對該員工個人電腦的最初破壞，獲得了該員工的公司登錄憑證，兩天后，利用偷來的憑證，通過 VPN 首次未經(jīng)授權(quán)訪問了 3CX 的網(wǎng)絡(luò)。

除確定了受損的 X_TRADER 和 3CXDesktopApp 應(yīng)用程序之間的戰(zhàn)術(shù)相似性外，Mandiant 還發(fā)現(xiàn)威脅攻擊者隨后在 3CX 環(huán)境中進(jìn)行了橫向移動，破壞了其 Windows 和macOS 的構(gòu)建環(huán)境。

Mandiant 研究人員指出在 Windows 構(gòu)建環(huán)境中，攻擊者部署了一個 TAXHAUL 啟動器和 COLDCAT 下載程序，通過 IKEEXT 服務(wù)執(zhí)行 DLL 端加載，并以 LocalSystem 權(quán)限運(yùn)行。在 macOS 構(gòu)建服務(wù)器被 POOLRAT 后門破壞后，該后門使用 Launch Daemons 以保持持久性機(jī)制。

注：POOLRAT 之前被威脅情報(bào)公司歸類為 SIMPLESEA，是一種 C/C++macOS 植入物，能夠收集基本系統(tǒng)信息并執(zhí)行任意命令，包括執(zhí)行文件操作。

3CX 在 2023 年 4 月 20 日分享的一份更新中表示，公司目前正在采取措施加強(qiáng)內(nèi)部系統(tǒng)，并通過增強(qiáng)產(chǎn)品安全、整合工具以確保其軟件的完整性。此外，公司成立一個新的網(wǎng)絡(luò)運(yùn)營和安全部門，最大限度地降低軟件供應(yīng)鏈中嵌套軟件攻擊的風(fēng)險(xiǎn)。

最后，Mandiant 強(qiáng)調(diào)威脅攻擊者可以創(chuàng)造性地利用網(wǎng)絡(luò)訪問來開發(fā)和分發(fā)惡意軟件，并在目標(biāo)網(wǎng)絡(luò)之間移動，各組織要時刻保持較高警惕。

參考文章：https://thehackernews.com/2023/04/nk-hackers-employ-matryoshka-doll-style.html