APT组织闯入能源领域的两个关键基础设施组织

3CX供应链攻击背后与朝鲜有联系的APT组织还闯入了能源领域的两个关键基础设施组织。

赛门铁克研究人员报告称，与朝鲜有关的威胁行为者发起的包括3CX供应链攻击在内的活动还袭击了能源领域的两个关键基础设施组织。

“与3CX相比，X_Trader软件供应链攻击影响的组织更多。迄今为止，赛门铁克威胁猎手团队的初步调查发现，受害者中有两家能源行业的关键基础设施组织，一家在美国，另一家在欧洲。”“X_Trader 供应链攻击似乎是出于经济动机，因为X_Trader的开发商Trading Technologies促进了期货交易，包括能源期货。”

研究人员还表示，另外两个参与金融交易的组织也遭到破坏。

众所周知，朝鲜APT组织会同时开展网络间谍活动和出于经济动机的攻击，因此，关键基础设施的妥协令人担忧。

赛门铁克分析的攻击链从名为X_TRADER_r7.17.90p608.exe的木马化安装程序开始。可执行文件由“Trading Technologies International, Inc.”进行数字签名。并包含一个名为Setup.exe的恶意可执行文件。

攻击中使用的恶意软件通过调用CLSID_TaskScheduler COM对象实现持久性，尝试创建计划任务以定期运行文件 TpmVscMgrSvr.exe。

X_Trader应用程序已于2020年退役，但用户仍可从公司网站下载。

安装合法的X_Trader可执行文件后，它会旁加载安装程序释放的两个恶意 DLL。

“发现3CX被另一场更早的供应链攻击所破坏，这使得更多组织极有可能受到这场运动的影响，现在看来，这场运动的范围比最初认为的要广泛得多。” 总结报告。“这些漏洞背后的攻击者显然有一个成功的软件供应链攻击模板，而且不能排除类似的攻击。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5610.html