3CX 確認供應鏈攻擊背后的朝鮮黑客

VoIP 通信公司 3CX 在 11 日證實，一個朝鮮黑客組織是上個月供應鏈攻擊的幕后黑手。

根據 Mandiant 迄今對 3CX 入侵和供應鏈攻擊的調查，他們將該活動歸因于一個名為UNC4736的集群。

Mandiant很有把握地評估說，UNC4736與朝鮮有關聯。

攻擊者用名為 Taxhaul(或TxRLoader) 的惡意軟件感染了 3CX 系統，該惡意軟件部署了一個由 Mandiant 命名為 Coldcat 的第二階段惡意軟件下載器。

該惡意軟件通過合法的 Microsoft Windows 二進制文件通過DLL側加載實現了在受損系統上的持久性，使其更難被檢測到。

此外，它會在系統啟動時自動加載到所有受感染的設備上，從而允許攻擊者通過互聯網進行遠程訪問。

在 Windows 上，攻擊者使用 DLL 側加載來實現 TAXHAUL 惡意軟件的持久性。

該 DLL 是由合法的 Windows 服務 IKEEXT 通過合法的 Windows 二進制文件svchost.exe加載的。

被攻擊的 macOS 系統也被名為 Simplesea 的惡意軟件入侵，Mandiant 仍在分析該惡意軟件，以確定它是否與以前已知的惡意軟件家族重疊。

支持的后門命令包括外殼命令執行、文件傳輸、文件執行、文件管理和配置更新。它還可以用來測試所提供的IP和端口號的連通性。

由 UNC4736 部署在 3CX 網絡上的惡意軟件連接到受攻擊者控制的多個命令和控制(C2)服務器，包括：

azureonlinecloud.com

akamaicontainer.com

journalide.org

msboxonline.com

3CX 尚未透露供應鏈攻擊最初是如何進行的，是其開發環境被破壞還是通過其他方法。

自從攻擊首次被披露以來，卡巴斯基還發現，朝鮮支持的 Lazarus 黑客組織至少自2020年以來針對加密貨幣公司使用的一個名為 Gopuram 的后門也被作為第二階段有效載荷投放到有限數量的3CX客戶的受損設備上。

在3月29日攻擊消息浮出水面的一天后，以及在客戶開始報告該軟件被SentinelOne、CrowdStrike、ESET、Palo Alto Networks和 SonicWall 的安全解決方案標記為惡意軟件的一個多星期后，3CX首次確認其基于3CXDesktopApp電子桌面客戶端在供應鏈攻擊中受到損害，以部署惡意軟件。

該公司建議客戶從所有 Windows 和 macOS 設備上卸載受影響的電子桌面客戶端，并立即切換到提供類似功能的漸進式網絡應用程序(PWA)網絡客戶端應用程序。

此處提供了批量卸載腳本：

https://www.3cx.com/blog/news/uninstalling-the-desktop-app/

在該事件(追蹤為CVE-2023-29059)被披露后，還報告稱，威脅行為者利用了一個10年前的Windows漏洞(CVE-2013-3900)，將捆綁有效載荷的惡意dll偽裝成合法簽名。

安全研究人員還創建了一個基于網絡的工具，幫助3CX用戶了解2023年3月的供應鏈攻擊是否潛在地影響了他們的IP地址。

https://checkmyoperator.com/

3CX 表示，其 3CX 電話系統被全球超過 60 萬家公司和每天超過 1200 萬用戶使用，客戶名單包括美國運通、可口可樂、麥當勞、法航、宜家、英國國家醫療服務體系和多家汽車制造商等知名公司和組織。