我们每天将为您更新无码免费_婷婷中文字幕视频在线_yy6080无码av午夜福利免费_91精品国产免费久久久久久无码_黄片在线免费播放

近期，針對 3CX 供應鏈攻擊事件炒的沸沸揚揚，谷歌旗下 Mandiant 追蹤分析這起網絡攻擊事件，最終發(fā)現(xiàn)此次攻擊是一起“套娃”式軟件供應鏈攻擊。

(資料圖片)

2023 年 3 月 29，網絡安全研究人員發(fā)現(xiàn)針對 3CX 的“套娃”式供應鏈攻擊。當時，攻擊者通過對上游軟件供應商 3CX 的攻擊，將植入了惡意代碼 Win/Mac 的多個產品版本安裝包托管于官方升級服務器，并通過自動升級過程分發(fā)至下游客戶，獲得管理員執(zhí)行權限。

此外，攻擊者通過下載器 SUDDENICON 提供了一個名為 ICONIC Stealer 的基于 C/C++ 的數(shù)據(jù)挖掘器，該數(shù)據(jù)挖掘器使用 GitHub 上托管的圖標文件來提取包含該竊取器的服務器。

美國網絡安全和基礎設施安全局（CISA）在對惡意軟件分析后表示惡意應用程序主要針對 Chrome、Edge、Brave 或 Firefox 瀏覽器，試圖從受害者用戶的網絡瀏覽器中竊取敏感信息。至于針對加密貨幣公司的特定攻擊，攻擊者還部署一個被稱為 Gopuram 的下一代后門，該后門能夠運行額外的命令并與受害者的文件系統(tǒng)進行互動。

Mandiant 的調查結果顯示，最初含有惡意軟件的是一家名為 Trading Technologies 金融科技公司開發(fā)的產品，3CX 的一名員工將該產品下載到了其個人電腦上。

惡意軟件安裝程序中包含一個安裝二進制文件，該二進制文件遺棄了兩個特洛伊木馬 DLL 和一個無害的可執(zhí)行文件，后者用于側加載一個偽裝成合法依賴項的 DLL。

攻擊者利用 SIGFLIP 和 DAVESHELL 等開源工具，提取并執(zhí)行 VEILEDSIGNAL（VEILEDSIGNAL 是一個用 C 語言編寫的多階段模塊化后門，能夠發(fā)送數(shù)據(jù)，執(zhí)行 shellcode），威脅攻擊者利用 VEILEDSIGNAL 對該員工個人電腦的最初破壞，獲得了該員工的公司登錄憑證，兩天后，利用偷來的憑證，通過 VPN 首次未經授權訪問了 3CX 的網絡。

除確定了受損的 X_TRADER 和 3CXDesktopApp 應用程序之間的戰(zhàn)術相似性外，Mandiant 還發(fā)現(xiàn)威脅攻擊者隨后在 3CX 環(huán)境中進行了橫向移動，破壞了其 Windows 和macOS 的構建環(huán)境。

Mandiant 研究人員指出在 Windows 構建環(huán)境中，攻擊者部署了一個 TAXHAUL 啟動器和 COLDCAT 下載程序，通過 IKEEXT 服務執(zhí)行 DLL 端加載，并以 LocalSystem 權限運行。在 macOS 構建服務器被 POOLRAT 后門破壞后，該后門使用 Launch Daemons 以保持持久性機制。

注：POOLRAT 之前被威脅情報公司歸類為 SIMPLESEA，是一種 C/C++macOS 植入物，能夠收集基本系統(tǒng)信息并執(zhí)行任意命令，包括執(zhí)行文件操作。

3CX 在 2023 年 4 月 20 日分享的一份更新中表示，公司目前正在采取措施加強內部系統(tǒng)，并通過增強產品安全、整合工具以確保其軟件的完整性。此外，公司成立一個新的網絡運營和安全部門，最大限度地降低軟件供應鏈中嵌套軟件攻擊的風險。

最后，Mandiant 強調威脅攻擊者可以創(chuàng)造性地利用網絡訪問來開發(fā)和分發(fā)惡意軟件，并在目標網絡之間移動，各組織要時刻保持較高警惕。

參考文章：https://thehackernews.com/2023/04/nk-hackers-employ-matryoshka-doll-style.html