链中链?造成3CX 软件供应链事件的是另外一起供应链事件?
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Mandiant Consulting 公司调查发现,上个月发生的 3CX 软件供应链事件是由疑似朝鲜黑客组织攻陷股票交易自动化公司 Trading Technologies 并推送木马化的软件引发的。
该公司的首席技术官 Charles Carmakal 表示,“我们认为大量组织机构目前尚不清楚已遭攻陷。我们希望发布这则消息能够帮助企业加快判断自己是否受陷且处理安全事件。”
攻击者下载Trading Technologies 公司 X_TRADER 软件的恶意程序,并将其安装在 3CX 公司员工的个人电脑上,部署了多阶段模块化后门 VEILEDSIGNAL 以执行 shellcode,将通信模块注入 Chrome、Firefox 或 Edge 进程并自我终止。
Mandiant 公司指出,执行该攻击的组织是 UNC4736,它从员工设备上切去了企业凭据并借此在 3CX 网络中进行横向移动,最终攻陷了 Windows 和 macOS 构建环境。该公司提到,“在 Windows build 环境中,攻击者部署了 TAXHAUL 启动器和 COLDCAT 下载器,它们通过 DLL 劫持 IKEEXT 服务和以 LocalSystem 权限保持持久性。该 macOS 构建服务器通过 POOLRAT 后门攻陷,将 LaunchDaemons 作为持久机制。”该恶意软件通过合法的微软 Windows 二进制进行 DLL 侧加载实现可持久性,同时在启动时自动加载,使攻击者能够在互联网上远程访问所有的受陷设备。
Mandiant 公司表示,UNC4736 和受经济利益驱动的朝鲜 Lazarus Group 组织有关,而该组织发动了 AppleJeus 活动。谷歌威胁分析团队 (TAG) 在2022年3月份的一份报告中将该攻击活动和攻陷 www.tradingtechnologies[.]com 网站关联在一起。
基于重叠的基础设施,Mandiant 公司还将 UNC4736 与APT43 (UNC3782和UNC4469)关联在一起,“从木马化的 X_TRADER app 来看,我们认为 UNC4736与朝鲜黑客存在关联。该木马 app 是通过 TAG 博客上提到的受陷的同样的网站分发的。再加上它们在TTPs 上的相似之处以及在其它基础设施上的重合之处,我们认为这些组织之间是有关联的。”
3月29日,3CX 公司在新闻爆出一天后,证实称其基于 Electron 的桌面客户端 3CXDesktopAPP 被攻陷以分发恶意软件。
3CX 花费了一周多的时间回应关于多家网络安全公司如 CrowdStrike、ESET、Palo Alto Networks、SentinelOne 和 SonicWall 等将其软件判定为恶意性质的客户报告。
3CX 公司的首席执行官 Nick Galea 在披露报告之后也表示,该客户端使用的一个 ffmpeg 二进制可能是初始入侵向量。然而,FFmpeg 否认了这一说法,表示仅提供未被攻陷的源代码。
3CX 公司建议客户从所有 Windows 和 macOS 设备上卸载这一客户端,且立即替换为提供类似特性的 PWA Web Client App。为此,安全研究团队创建了基于 web的工具,协助3CX 的客户判断IP地址是否受该事件影响。
从3CX 公司官网上披露的情况来看,这款 3CX Phone System 的每日用户量超过1200万人,用户遍布全球60多万家企业,其中不乏高级别组织机构和企业如美国运通、可口可乐、麦当劳、宜家、法国航空、英国国民保健署以及多家汽车厂商。
Mandiant 公司指出,“这起软件供应链攻陷事件是我们认识到的首个导致另外一起软件供应链事件的事件。它说明了这类攻陷事件的潜在影响范围,尤其是当威胁行动者能够链接此次调查中所展示的入侵的情况。”
Windows漏洞十年未修复,3CX供应链攻击影响全球60多万家企业
奇安信总裁吴云坤:构建四大关键能力 体系化治理软件供应链安全
速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整
Apache Cassandra 开源数据库软件修复高危RCE漏洞
Apache Log4j任意代码执行漏洞安全风险通告第三次更新
PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击
美国政府发布关于“通过软件安全开发实践增强软件供应链安全”的备忘录(全文)
OpenSSF发布4份开源软件安全指南,涉及使用、开发、漏洞报告和包管理等环节
美国政府发布联邦机构软件安全法规要求,进一步提振IT供应链安全
Apache开源项目 Xalan-J 整数截断可导致任意代码执行
Linux和谷歌联合推出安全开源奖励计划,最高奖励1万美元或更多
开源软件 LibreOffice 修复多个与宏、密码等相关的漏洞
Juniper Networks修复200多个第三方组件漏洞
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击
和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?
200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
原文链接:
https://www.darkreading.com/ics-ot/bidens-cybersecurity-strategy-calls-for-software-liability-tighter-critical-infastructure-security
题图:Pixabay License
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。