圈小蛙

加密货币公司在复杂的3CX供应链攻击中成为目标,据称是朝鲜黑客组织Lazarus所为

针对3CX供应链攻击背后的对手部署了一个第二阶段的植入程序,专门针对少数加密货币公司。

俄罗斯网络安全公司卡巴斯基(Kaspersky)自2020年以来一直在内部跟踪名为Gopuram的多功能后门,它说它在2023年3月观察到感染数量的增加,与3CX漏洞相吻合。

Gopuram的主要功能是连接到一个命令和控制(C2)服务器,并等待进一步的指令,让攻击者与受害者的文件系统互动,创建进程,并启动多达八个内存模块。

据称该后门与朝鲜黑客有联系,该联系源于这样一个事实,即它“与AppleJeus共存于受害机器上,AppleJeus是一个归属于讲朝鲜语的威胁行为者Lazarus的后门”,详细介绍了2020年对位于东南亚的一家未命名的加密货币公司的攻击。

以加密货币公司为目标是Lazarus集团参与的另一个明显迹象,因为该威胁行为者经常关注金融业,为受制裁的国家(朝鲜)创造非法利润。

卡巴斯基进一步表示,它发现C2与服务器(“wirexpro[.]com”)存在重叠,该服务器先前被确定为在Malwarebytes于2022年12月记录的AppleJeus活动中使用。

该公司指出:“由于Gopuram后门已部署到不到10台受感染的机器上,这表明攻击者以外科手术般的精确度使用了Gopuram”,并补充说在巴西、德国、意大利和法国检测到的感染率最高。

虽然到目前为止发现的攻击链需要使用流氓安装程序来分发信息窃取程序(称为ICONIC Stealer),但最新发现表明,该活动的最终目标可能是用成熟的模块化后门感染目标。

也就是说,尚不清楚该活动的成功程度,以及它是否导致了敏感数据或加密货币的实际盗窃。然而,它提出了一种可能性,即ICONIC Stealer被用作侦察工具,以广泛撒网并确定感兴趣的目标,以便进行后续利用。

事态发展之际,黑莓透露“这项行动的初始阶段发生在2022年夏末至秋初之间。”

根据这家加拿大公司的说法,大部分的攻击尝试都是在澳大利亚、美国和英国,其中医疗保健、制药、IT和金融成为首要目标行业。

目前尚不清楚威胁行为者如何获得对3CX网络的初始访问权限,以及它是否需要利用一个已知或未知的漏洞。该漏洞的标识符为CVE-2023-29059,正在被追踪。

迄今为止收集到的证据表明,攻击者对3CX的开发环境进行了感染,并在类似SolarWinds或Kaseya的供应链攻击中向该公司的下游客户提供了合法应用程序的木马化版本。

负责检索信息窃取程序的恶意组件之一,一个名为“d3dcompiler_47.dll”的库,也被发现将一个有10年历史的Windows漏洞(CVE-2013-3900)武器化,以合并加密的shellcode而不使其微软签发的签名失效。

这里值得注意的一点是,以色列网络安全公司Check Point Research在2022年1月发现的ZLoader恶意软件活动中也采用了同样的技术。

多个版本的桌面应用程序——适用于Windows的18.12.407和18.12.416以及适用于macOS的18.11.1213、18.12.402、18.12.407和18.12.416——已受到影响。此后,3CX将这次攻击归咎于一个“经验丰富、知识渊博的黑客”。

CrowdStrike将这一事件与一个与朝鲜结盟的民族国家集团联系起来,该集团以Labyrinth Chollima为名进行追踪,是Lazarus集团的一个子集群。

Exit mobile version