3CX 遭遇“套娃”式供应链攻击
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
Mandiant追踪分析了3CX供应链攻击事件,发现攻击者通过对上游软件供应商3CX的攻击,将植入了恶意代码的多个产品版本安装包托管于官方升级服务器,并通过自动升级过程分发至下游客户,获得管理员执行权限。攻击者还部署了一个名为ICONIC Stealer的数据挖掘器,试图从受害者用户的网络浏览器中窃取敏感信息。
🎯
关键要点
- Mandiant 追踪分析了 3CX 供应链攻击事件,发现攻击者通过对上游软件供应商 3CX 的攻击植入恶意代码。
- 攻击者将多个产品版本安装包托管于官方升级服务器,并通过自动升级过程分发至下游客户,获得管理员执行权限。
- 攻击者部署了名为 ICONIC Stealer 的数据挖掘器,试图从受害者用户的网络浏览器中窃取敏感信息。
- 恶意应用程序主要针对 Chrome、Edge、Brave 或 Firefox 浏览器,攻击者还部署了 Gopuram 后门以进行特定攻击。
- 最初含有恶意软件的产品来自 Trading Technologies 金融科技公司,3CX 员工下载了该产品。
- 攻击者利用开源工具提取并执行多阶段模块化后门 VEILEDSIGNAL,获得了员工的公司登录凭证。
- 攻击者在 3CX 环境中进行了横向移动,破坏了其 Windows 和 macOS 的构建环境。
- 3CX 正在采取措施加强内部系统,增强产品安全,成立新的网络运营和安全部门。
- Mandiant 强调组织需保持警惕,以防止网络访问被利用来开发和分发恶意软件。
➡️
