供应链攻击在3CX语音通话应用上安装了一个合法的软件,但是恶意软件加载的程序,到他们的个人电脑上。
的发现(在新窗口中打开)来自网络安全供应商Mandiant, 3CX聘请Mandiant对公司的桌面应用程序上个月如何被操纵,向Windows和Mac用户提供恶意代码进行调查。
Mandiant发现的证据表明,此次入侵始于另一家名为Trading Technologies的公司,该公司开发了期货交易应用X_Trader。去年,疑似朝鲜黑客发现了(在新窗口中打开)入侵公司网站。
这些黑客篡改了X_Trader应用程序,并在公司网站上将其提供给潜在的受害者。作为证据,曼迪昂特公司说恶意软件X_Trader应用程序以“Trading Technologies International, Inc.”的名义使用有效的代码签名证书进行签名,该证书将于2022年10月到期。
去年,3CX的一名员工在自己的个人电脑上安装了X_Trader,这为黑客几个月前入侵3CX铺平了道路。3CX公司在自己的声明中表示:“Mandiant评估称,黑客从该员工的系统中窃取了该员工的3CX公司证书。报告(在新窗口中打开).
“在3CX公司环境中发现的最早的妥协证据发生在VPN在员工的个人电脑被入侵两天后,使用该员工的企业凭证。”一旦进入3CX的网络,黑客们就开始窃取其他登录凭证,以进入3CX桌面应用的Windows和Mac版本的内部软件构建系统。
和其他网络安全公司一样,Mandiant也怀疑这次攻击背后的黑客与朝鲜有关联。近年来,该国的黑客已经臭名昭著针对用户和公司试图窃取加密货币并闯入银行。
Mandiant补充说,这一事件表明,单个软件供应商的妥协会像滚雪球一样演变成更大的威胁。这家网络安全供应商补充说:“连锁软件供应链的妥协表明,朝鲜运营商可以以创造性的方式利用网络访问来开发和传播恶意软件。”
推特(在新窗口中打开)
目前还不清楚黑客通过3CX攻击最终感染了多少用户。但是反病毒提供商卡巴斯基检测到有证据表明,疑似朝鲜人只在安装了3CX的“不到10台受感染的机器”上安装了后门。有多少用户安装了带有恶意软件的X_Trader应用程序也不得而知,但安装了的用户应该立即卸载该软件。
尽管正在进行调查,但Trading Technologies表示,它不一定有错。该公司实际上在2020年就已经停用了X_Trader软件,尽管Mandiant声称直到去年该公司的网站上还可以使用该软件。
Trading Technologies表示:“我们的客户在18个月的日落期间收到了多次通知,通知他们2020年4月以后我们将不再支持或服务XTRADER。”“鉴于TT在2020年初之后停止托管、支持和服务XTRADER,任何人都没有理由下载该软件。我们还强调,这一事件与目前的TT平台完全无关。”
Trading Technologies补充说,它上周才知道这些发现。“我们不知道为什么3CX的员工会下载X_TRADER,”它补充说。
与此同时,3CX仍然专注于在供应链攻击之后加强公司的安全。该公司开发了新的桌面3CX应用程序,这些应用程序“经过彻底检查和清理,可以认为是安全的”。它说。