【防不勝防】交易工具暗藏北韓木馬程式 供應鏈攻擊效率驚人

    早前一間專門提供商業網絡通話、視像會議及訊息傳輸服務的企業3CX遭受入侵,雖然很快已發現是北韓國家級黑客所為,但隨著其他專家參與調查,黑客集團原來亦已入侵了另外四間企業,受害機構分別來自能源基礎設施及金融行業,而且入侵方式與 3CX 基本上一樣,可見這類供應鏈攻擊(Supply chain attack)真是防不勝防。

    3CX 入侵事件在今年三月公開,當時負責調查的網絡安全公司 Mandiant 專家,很快已指出事件與北韓國家級黑客集團 UNC4736 有關,估計入侵源頭是因為 3CX 一個員工在自己的電腦上,下載及安裝了一款帶有木馬病毒 VeiledSignal 的 X_Trader 交易軟件。

    該軟件由 Trading Technologies 所開發,不過已在 2020 年停止服務,而員工於 2022 年所下載到的版本雖然備有安全簽證,但專家指出這些簽證都是從非法途徑獲得,所以在當時便能通過 3CX 的安全系統驗證,成功安裝到電腦上,並讓黑客取得 3CX 電腦系統的管理員權限,自由在內部系統收集機密資料。

    此外,黑客還在 3CX 的桌面版軟件上加入同一種木馬病毒,進一步感染其客戶企業,由於 3CX 的企業客戶多達 60 萬,當中包括寶馬、麥當勞及英國的國家健康中心,其企業通訊服務的使用量每日更高達 1,200 萬,因此當時已有不少安全專家警告,3CX 遭受入侵將會帶來嚴重的後果,受害企業相信陸續有來。

    相隔一個月,網絡安全公司 Symantec 亦發表安全報告,專家在報告中提到還有四間企業因加料版 X_Trader 而蒙受損失。專家指由 Trading Technologies 開發的 X_Trader 可用於交易期貨活動,當中包括與能源業有關的期貨,可見這次北韓國家級黑客的目標應與金錢獲利有關。

    另一方面,受影響的兩間能源基礎設施機構來自美國及歐洲,相信黑客在取得這兩間公司的財務機密資料後,亦會進一步利用,不會只是單純的間諜刺探活動。不過,Symantec 方面並沒有公開這四間機構的身分,但亦分享了病毒入侵指標(IoC)及相關資料,以助業界更容易搜尋遭受入侵的跡象。

    近年供應鏈攻擊經常發生,最轟動的供應鏈攻擊要數 2020 年的 SolarWinds 及 2021 年的 Kaseya 事件。前者是因為黑客在 SolarWinds Orion 商業軟件內植入木馬程式,透過自動更新感染其客戶,估計約有 30 萬用戶受影響。後者則因 KaseyaVSA 管理工具存在致命漏洞且給勒索軟件集團搶先利用,累及數以百計客戶遭殃。

    雖然在這次事件中,3CX 的客戶可安裝新的更新堵塞漏洞,但由於不知道黑客是否已入侵系統或入侵深道,因此專家仍建議應聘請安全專家進行詳細調查。

    資料來源: https://www.securityweek.com/symantec-north-korean-3cx-hackers-also-hit-critical-infrastructure-orgs/

    相關文章:【不留痕迹】北韓間諜集團開發新軟件 結合圖像隱碼術專攻南韓人

    #3CX #CyberAttack #供應鏈攻擊 #勒索軟件 #北韓黑客 #網絡保安 #網絡攻擊

    相關文章