Wilson (42865)发表于 2023年03月31日 22时37分 星期五
来自洋槐树下
朝鲜黑客通过广泛使用的 VoIP 客户端 3CX 对其用户发动了供应链攻击。黑客采用的方法目前还不清楚,但他们设法传播了含有恶意功能的 3CX Windows 和 macOS 客户端,使用了官方的有效密钥进行签名,还通过了苹果的安全检查。受影响的版本包括:Windows 下有 18.12.407 和 18.12.416;macOS 下有 18.11.1213、18.12.402、18.12.407 和 18.12.416。任何使用 3CX 的企业或组织都应该立即检查其网络寻找是否有入侵迹象。3CX 有逾 60 万客户,其中包括美国运通、奔驰和普华永道等知名公司。黑客的入侵准备活动至少是从 2022 年 2 月就开始了,当时他们注册了一系列相关域名。本周安全软件开始检测到来自 3CX 客户端的恶意活动,这次供应链攻击才曝光。对恶意版本的分析显示,它包含了干净版本的 3CX 应用,通过 DLL Sideloading 的方法加入恶意功能。
https://arstechnica.com/?p=1927920