至少2個關鍵基礎設施組織被 3CX 攻擊背后的朝鮮相關黑客破壞

Lazarus 是針對3CX 的級聯供應鏈攻擊背后的多產朝鮮黑客組織，它還利用木馬化的 X_TRADER 應用程序入侵了電力和能源領域的兩個關鍵基礎設施組織以及另外兩個涉及金融交易的企業。

據悉，賽門鐵克的威脅獵人團隊提供的新發現證實了早先的懷疑，即 X_TRADER 應用程序危害影響的組織比 3CX 多。博通旗下賽門鐵克的安全響應主管 Eric Chien 在一份聲明中告訴黑客新聞，這些攻擊發生在 2022 年 9 月至 2022 年 11 月之間。

Chien 說：“目前這些感染的影響尚不清楚——需要進行更多調查，并且正在進行中。”他補充說，“這個故事可能還有更多內容，甚至可能還有其他被木馬化的軟件包。”

事態發展之際，Mandiant透露，上個月 3CX 桌面應用程序軟件遭到入侵，是由于 2022 年另一起針對 X_TRADER 的軟件供應鏈泄露事件導致的，一名員工將其下載到他們的個人電腦上。

目前尚不清楚朝鮮網絡攻擊者 UNC4736 如何篡改由一家名為 Trading Technologies 的公司開發的交易軟件 X_TRADER。雖然該服務于 2020 年 4 月停止，但直到去年仍可在公司網站上下載。

Mandiant 的調查顯示，注入到損壞的 X_TRADER 應用程序中的后門（稱為 VEILEDSIGNAL）允許對手獲得對員工計算機的訪問權限并竊取他們的憑據，然后使用這些憑據來破壞 3CX 的網絡，橫向移動并破壞 Windows 和macOS 構建環境以插入惡意代碼。

這場規模龐大的相互關聯的攻擊似乎與以往與朝鮮結盟的團體和活動有很大重疊，這些團體和活動歷來以加密貨幣公司為目標，并進行了出于經濟動機的攻擊。

谷歌云子公司以“中等信心”評估該活動與 AppleJeus 有關，AppleJeus 是一項針對加密公司進行金融盜竊的持續活動。網絡安全公司 CrowdStrike 此前將此次攻擊歸因于一個名為Labyrinth Chollima的 Lazarus 集群。

2022年2月，Google 的威脅分析小組 (TAG)曾將同一敵對集體與 Trading Technologies 網站的入侵聯系起來，以提供利用 Chrome 網絡瀏覽器中當時的零日漏洞的漏洞利用工具包。

ESET 在分析不同的 Lazarus Group 活動時，披露了一種名為 SimplexTea 的新的基于 Linux 的惡意軟件，它共享被識別為 UNC4736 使用的相同網絡基礎設施，進一步擴展了現有證據表明 3CX 黑客攻擊是由朝鮮威脅策劃的演員。

ESET 惡意軟件研究員 Marc-Etienne M 表示：“[Mandiant] 發現第二次供應鏈攻擊導致 3CX 遭到破壞，這表明 Lazarus 可能會越來越多地轉向這種技術，以獲得對目標網絡的初始訪問權限。” .Léveillé 告訴黑客新聞。

X_TRADER 應用程序的妥協進一步暗示了攻擊者的經濟動機。Lazarus（也稱為 HIDDEN COBRA）是一個總稱，由位于朝鮮的幾個子團體組成，這些子團體代表隱士王國從事間諜活動和網絡犯罪活動，并逃避國際制裁。

賽門鐵克對感染鏈的分解證實了 VEILEDSIGNAL 模塊化后門的部署，該后門還包含一個可以注入 Chrome、Firefox 或 Edge 網絡瀏覽器的進程注入模塊。該模塊本身包含一個動態鏈接庫 (DLL)，可連接到 Trading Technologies 的網站以進行命令和控制 (C2)。

賽門鐵克總結說：“發現 3CX 被另一個更早的供應鏈攻擊所破壞，這使得更多的組織很可能會受到這次活動的影響，現在發現這種活動的范圍比最初認為的要廣泛得多。”