3CX 供应链攻击是由……另一个供应链攻击引起的

调查黑客如何针对企业电话提供商 3CX 实施复杂供应链攻击的事件响应人员表示，该公司已受到另一供应链攻击。

3CX 开发了一种软件电话系统，全球有超过 600,000 家组织使用该系统，每日活跃用户超过 1200 万，它与网络安全公司 Mandiant 合作调查了该事件。 Mandiant 在周四的报告中表示，攻击者使用由 Trading Technologies 开发的包含恶意软件的 X_Trader 金融软件版本破坏了 3CX。

X_Trader 是交易者用来查看实时和历史市场的平台，Trading Technologies 已于 2020 年淘汰该平台，但据 Mandiant 称，该平台在 2022 年仍可从公司网站下载。

Mandiant 说他怀疑 Trading Technologies 网站遭到了一群朝鲜国家支持的黑客攻击，他称之为 UNC4736。

谷歌威胁分析小组去年的一份报告证实了这一点，该报告证实，Trading Technologies 网站于 2022 年 2 月在一次针对数十名加密货币和金融科技用户的朝鲜行动中遭到入侵。美国网络安全机构 CISA 声称，该黑客组织使用其定制的“AppleJeus”恶意软件从 30 多个国家/地区的受害者那里窃取了加密货币。

Mandiant 调查显示，一名 3CX 员工于 2022 年 4 月从 Trading Technologies 网站下载了损坏版本的 X_Trader 软件，黑客使用该公司当时有效的代码签名证书对该软件进行了数字签名，给人留下这样的印象：是合法的。

安装后，该软件会在员工的设备上植入后门，使攻击者能够完全访问受感染的系统。然后使用此访问权限在 3CX 的网络中横向移动，并最终破坏 3CX 的旗舰桌面电话应用程序，以在 3CX 的公司网络中植入信息窃取恶意软件。他们的客户。

“这对我们来说意义重大，因为这是我们第一次发现软件供应链攻击导致另一次供应链攻击的具体证据，”Mandiant 的首席技术官 Charles Carmakal 说。 “这一系列耦合的供应链攻击简单地说明了朝鲜威胁行为者不断增长的网络攻击能力。”

Mandiant 表示，它已于 4 月 11 日通知 Trading Technologies 这一妥协，但表示不清楚有多少用户受到影响。

Trading Technologies 女发言人 Ellen Resnick 告诉 TechCrunch，该公司尚未验证 Mandiant 的调查结果，并重申其将在 2020 年停止支持该软件。

Mandiant 的 Carmakel 补充说，与这两次供应链攻击相关的“更多人员伤亡”可能会在未来几周和几个月内公布。