至少2个关键基础设施组织被 3CX 攻击背后的朝鲜相关黑客破坏

Lazarus 是针对3CX 的级联供应链攻击背后的多产朝鲜黑客组织，它还利用木马化的 X_TRADER 应用程序入侵了电力和能源领域的两个关键基础设施组织以及另外两个涉及金融交易的企业。

据悉，赛门铁克的威胁猎人团队提供的新发现证实了早先的怀疑，即 X_TRADER 应用程序危害影响的组织比 3CX 多。博通旗下赛门铁克的安全响应主管 Eric Chien 在一份声明中告诉黑客新闻，这些攻击发生在 2022 年 9 月至 2022 年 11 月之间。

Chien 说：“目前这些感染的影响尚不清楚——需要进行更多调查，并且正在进行中。”他补充说，“这个故事可能还有更多内容，甚至可能还有其他被木马化的软件包。”

事态发展之际，Mandiant透露，上个月 3CX 桌面应用程序软件遭到入侵，是由于 2022 年另一起针对 X_TRADER 的软件供应链泄露事件导致的，一名员工将其下载到他们的个人电脑上。

目前尚不清楚朝鲜网络攻击者 UNC4736 如何篡改由一家名为 Trading Technologies 的公司开发的交易软件 X_TRADER。虽然该服务于 2020 年 4 月停止，但直到去年仍可在公司网站上下载。

Mandiant 的调查显示，注入到损坏的 X_TRADER 应用程序中的后门（称为 VEILEDSIGNAL）允许对手获得对员工计算机的访问权限并窃取他们的凭据，然后使用这些凭据来破坏 3CX 的网络，横向移动并破坏 Windows 和macOS 构建环境以插入恶意代码。

这场规模庞大的相互关联的攻击似乎与以往与朝鲜结盟的团体和活动有很大重叠，这些团体和活动历来以加密货币公司为目标，并进行了出于经济动机的攻击。

谷歌云子公司以“中等信心”评估该活动与 AppleJeus 有关，AppleJeus 是一项针对加密公司进行金融盗窃的持续活动。网络安全公司 CrowdStrike 此前将此次攻击归因于一个名为Labyrinth Chollima的 Lazarus 集群。

2022年2月，Google 的威胁分析小组 (TAG)曾将同一敌对集体与 Trading Technologies 网站的入侵联系起来，以提供利用 Chrome 网络浏览器中当时的零日漏洞的漏洞利用工具包。

ESET 在分析不同的 Lazarus Group 活动时，披露了一种名为 SimplexTea 的新的基于 Linux 的恶意软件，它共享被识别为 UNC4736 使用的相同网络基础设施，进一步扩展了现有证据表明 3CX 黑客攻击是由朝鲜威胁策划的演员。

ESET 恶意软件研究员 Marc-Etienne M 表示：“[Mandiant] 发现第二次供应链攻击导致 3CX 遭到破坏，这表明 Lazarus 可能会越来越多地转向这种技术，以获得对目标网络的初始访问权限。” .Léveillé 告诉黑客新闻。

X_TRADER 应用程序的妥协进一步暗示了攻击者的经济动机。Lazarus（也称为 HIDDEN COBRA）是一个总称，由位于朝鲜的几个子团体组成，这些子团体代表隐士王国从事间谍活动和网络犯罪活动，并逃避国际制裁。

赛门铁克对感染链的分解证实了 VEILEDSIGNAL 模块化后门的部署，该后门还包含一个可以注入 Chrome、Firefox 或 Edge 网络浏览器的进程注入模块。该模块本身包含一个动态链接库 (DLL)，可连接到 Trading Technologies 的网站以进行命令和控制 (C2)。

赛门铁克总结说：“发现 3CX 被另一个更早的供应链攻击所破坏，这使得更多的组织很可能会受到这次活动的影响，现在发现这种活动的范围比最初认为的要广泛得多。”