新发现的Linux恶意软件与3CX供应链攻击的联系

关键要点

ESET研究团队发现了一种新的Linux恶意软件，进一步证实了3CX软件供应链攻击是由朝鲜黑客组织实施的。该恶意软件链的分析使研究人员有信心确认Lazarus组织与3CX事件之间的联系。这标志着Lazarus首次针对Linux桌面用户，可能会影响大量系统。该攻击显示出威胁行为者不断扩展其工具、目标和战术，并可能影响物联网和操作技术设备。

ESET的研究人员近日在一篇 博客文章 中透露，他们发现了一种新的Linux恶意软件。这一发现进一步确立了3CX软件供应链攻击的幕后黑手为朝鲜黑客组织的证据。研究人员详细重建了整个Linux攻击链，从发送虚假汇丰银行工作机会的Zip文件起，一直到最终的有效载荷：通过 OpenDrive 云存储账户分发的SimplexTea Linux后门。

尽管这款Linux恶意软件与3CX事件无直接关联，ESET的研究人员表示，发现该恶意软件链帮助他们以“高度的信心”确认3CX在3月公布的供应链攻击是由Lazarus集团实施的。这个名称并不是特定的组织，而是指代一群受到国家支持和犯罪团伙的综合体，他们大多在朝鲜王国的指挥下展开活动。

ESET研究员彼得卡尔奈表示：“最近发现的恶意工具集在Linux上运行，这表明Lazarus组织会根据目标进行调整，并通过社交工程手段追求其攻击目标。”

卡尔奈还声称，ESET的发现代表北朝鲜黑客的另一个成果。

“这是我们首次看到Lazarus针对Linux桌面用户，”卡尔奈指出。“这一点令人担忧，因为该后门有功能可以列出和提取被攻击系统中的任何文件。尽管这与三CX事件并不直接相关，但我们无法忽视与用于攻陷3CX的恶意软件之间的相似之处，这使得最近事件是Lazarus所为的说法更具可信性。不仅我们在文件名和加密密钥等代码中发现相似性，还在用于敏感数据提取的网络基础设施中发现了共鸣。”

黑豹加速器

在3CX泄露事件刚被披露时，外界就怀疑与朝鲜有关。3月29日，一名CrowdStrike工程师在Reddit上首次报道了这一情况，随后CrowdStrike当日发布了官方报告。Mandiant也是应3CX调查泄露事件而进行的中期评估，指出该攻击与“朝鲜关系密切”。其他安全公司也对事件进行了总结，包括Sophos、Check Point、Broadcom以及Trend Micro，许多也将该事件归咎于与朝鲜有关的组织。

根据3CX官方网站的信息，该公司拥有超过60万家公司作为客户，包括美国运通、宝马、法航、丰田、宜家等。3月30日的Shodan搜索发现超过240000个暴露于3CX的电话管理系统，而托