连线杂志：巨大的3CX漏洞实际上是2次相关联的供应链攻击

研究人员表示，这家 VoIP 公司客户的大规模入侵是第一起确认的网络攻击事件，其中一个软件供应链攻击启用了另一个。

网络安全行业在最近几周争先恐后地报告了 3CX 漏洞的起源和后果，3CX是一家 VoIP 提供商，其软件在一次供应链攻击中被与东北亚某国政府有关联的黑客组织破坏，该攻击向其数十万客户传播恶意软件。

网络安全公司 Mandiant 现在找到了 3CX 是如何被国家支持的黑客入侵的迷题答案：该公司是无数受另一起软件供应链攻击感染的受害者之一——这是一个罕见的，甚至可能是前所未有的例子：一组黑客如何使用一次软件供应链攻击来执行第二次攻击。可称之为供应链连锁反应。

今天，Mandiant 透露，它发现了这次广泛的黑客行动的零号病人，该行动袭击了 3CX 60万名客户中的很大一部分。根据 Mandiant 的说法，一名 3CX 员工的 PC 是通过早期的软件供应链攻击被黑客入侵的，该攻击劫持了金融软件公司 Trading Technologies 的一个应用程序，攻击者是入侵 3CX 的同一群黑客。人们普遍认为，这个名为 Kimsuky、Emerald Sleet 或 Velvet Chollima 的黑客组织正在为东北亚某国政府工作。

Mandiant 表示，黑客以某种方式设法将后门代码植入了 Trading Technology 网站上名为 X_Trader 的应用程序中。这个受感染的应用程序后来安装在 3CX 员工的计算机上，然后允许黑客通过 3CX 的网络传播他们的访问权限，到达用于3CX软件开发的服务器，篡改破坏 3CX 安装程序包，并导致广泛感染。

“这是我们第一次发现软件供应链攻击导致另一次软件供应链攻击的具体证据。”Mandiant Consulting 的首席技术官 Charles Carmakal 说。“所以这对我们来说非常大，非常重要。”

Mandiant 表示，Trading Technologies 并未聘请它来调查利用其 X_Trader 软件的原始攻击，因此它不知道黑客是如何改变 Trading Technologies 应用程序的，也不知道具体有多少3CX之外的受害者。

Mandiant 公司指出，Trading Technologies 已于 2020 年停止支持 X_Trader，尽管该应用程序在 2022 年之前仍可供下载。Mandiant 认为，基于损坏的 X_Trader 恶意软件的数字签名，Trading Technologies 的供应链攻击发生在 2021 年 11 月之前，但 3CX 后续供应链攻击直到今年年初才发生。

Trading Technologies 的一位发言人告诉连线杂志，该公司在18个月前已警告用户，其产品X_Trader 将在 2020 年不再受到支持，鉴于 X_Trader 是交易专业人士的工具，没有理由将其安装在 3CX 上机器。

该发言人补充说，3CX 不是 Trading Technologies 的客户，对 X_Trader 应用程序的任何损害都不会影响其当前的软件。3CX 没有回应《连线》杂志的置评请求。

东北亚某国政府背景的黑客组织试图通过相互关联的软件供应链攻击来达到什么目的，目前还不完全清楚，但似乎部分动机是单纯的盗窃。

两周前，网络安全公司卡巴斯基透露，至少有少数受损坏的 3CX 应用程序攻击的受害者是位于“西亚”的加密货币相关公司，尽管它拒绝透露这些公司的名字。卡巴斯基发现，与大规模软件供应链攻击的常见情况一样，黑客已经筛选了他们的潜在受害者，并向数十万个受感染网络中的一小部分提供了一个第二阶段的恶意软件“surgical precision”。

Mandiant 同意与东北亚某国有关的黑客至少一个目标是加密货币盗窃：它指出了谷歌威胁分析小组的早期发现，AppleJeus 是一种与同一黑客有关的恶意软件，被用于通过以下方式针对加密货币服务：谷歌 Chrome 浏览器中的漏洞。

Mandiant 还发现，3CX 软件中的同一个后门被插入到另一个加密货币应用程序 CoinGoTrade 中，并且它与另一个带有后门的交易应用程序 JMT Trading 共享基础设施。

Mandiant 的网络间谍威胁情报主管本·里德 (Ben Read) 表示，所有这些，再加上该组织针对 Trading Technologies 的目标，表明他们专注于窃取加密货币。Read 说，像利用 3CX 软件那样的广泛供应链攻击将“让你进入人们处理资金的地方”。“这是一个非常专注于货币化的团队。”

Mandiant 的 Carmakal 指出，鉴于这些供应链攻击的规模，以加密货币为中心的受害者可能只是冰山一角。“我认为随着时间的推移，我们会了解更多的受害者，因为它与这两种软件供应链攻击中的一种有关。”

虽然 Mandiant 将 Trading Technologies 和 3CX 攻击描述为一个供应链攻击导致另一个供应链攻击的第一个已知实例，但研究人员多年来一直在猜测其他此类事件是否具有类似的相互关联。

例如，被称为 Winnti 或 Brass Typhoon 的某国黑客组织在 2016 年至 2019 年期间发动了不少于六次软件供应链攻击。在其中一些案例中，黑客最初入侵的方法从未被发现——很可能来自更早的供应链攻击。

Mandiant 的 Carmakal 指出，也有迹象表明，对臭名昭著的 SolarWinds 供应链攻击负责的俄罗斯黑客也在对一些受害者内部的软件开发服务器进行侦察，并且可能打乱了正在计划后续的供应链攻击。

一个能够实施供应链攻击的黑客组织通常会设法撒下一张巨大的网，吸引各种各样的受害者——其中一些人通常是软件开发人员，他们提供了一个强大的有利位置来进行后续攻击，通过又一次供应链攻击撒网。

如果 3CX 是第一家遭受此类供应链连锁反应打击的公司，那么它不太可能是最后一家。

参考链接：https://www.wired.com/story/3cx-supply-chain-attack-times-two/