3CX供应链攻击与北韩黑客有关

主要信息

• 3CX公司确认其供应链攻击与北韩支持的黑客组织有关。
• Mandiant的调查显示，攻击利用名为TAXHAUL的恶意软体。
• 进一步的证据指向与「Labyrinth Chollima」的连结，该组织是著名的Lazarus集团的子单位。

VoIP软体提供商3CX证实，最近的供应链攻击与北韩支持的黑客有关。3CX表示，其电话系统在全球已有超过60万家公司使用。该公司上月聘请了谷歌旗下的网络安全公司Mandiant对其Windows和macOS用户受到的供应链攻击进行调查。虽然调查仍在进行中，但今天发布的中期评估进一步支持了先前的评估，确认这些黑客来自北韩。

3CX的首席信息安全官Pierre Jourdan在中表示：“根据Mandiant对3CX入侵和供应链攻击的调查，他们将这一活动归因于一个名为UNC4736的集群。Mandiant高度自信地评估UNC4736与北韩有关。”

“对于‘关联’这一术语，威胁情报公司经常使用它来表示某个黑客组织或行动可能源自特定国家或由该国本地语言使用者组成，但缺乏国家指导的确凿证据。”

Mandiant的调查发现该集团最早以名为TAXHAUL的恶意软件针对3CX，该软件可解密并执行藏于包含其他启动安装的目录中的shellcode脚本。

攻击者通过DLL侧载来传递恶意软件，而TAXHAUL也使用了针对每个被攻陷主机的独特加密密钥，这意味著数据只能在被感染的系统上解密。

“攻击者可能做出这样的设计决定，以增加安全研究人员和事件响应者成功分析的成本和工作量。”Jourdan写道。

自攻击首次披露以来，网络安全公司CrowdStrike已经以“高度自信”将此次攻击归因于其称为LabyrinthChollima的北韩黑客组织。CrowdStrike的一位发言人于周二通过电子邮件确认，Mandiant的调查结果似乎与他们之前的归因一致。

，是臭名昭著的Lazarus集团的子单位，与多起高端加密货币交易所和挖矿操作的攻击有关。
Sophos的指出，攻击中使用的代码曾在与Lazarus集团相关的事件中出现，进一步支持了与Labyrinth Chollima的关联。

在事件披露一周后，俄罗斯的防病毒公司Kaspersky也指出，他们几家加密货币公司在3CX攻击中被以名为Gopuram的后门恶意软件攻击，而这款软件至少自2020年以来就已被北韩支持的Lazarus集团使用。

Mandiant的调查发现了另外两种恶意软件，分别被称为SIMPLESEA和COLDCAT，但指出这两者似乎与Kaspersky发现的Gopuram恶意软件不同。