发布于2022年10月15日3年前 可能与中国有关的威胁行为者被归咎于新的供应链攻击,该攻击涉及使用 Comm100 Live Chat 应用程序的木马安装程序来分发 JavaScript 后门。 网络安全公司 CrowdStrike 表示,这次攻击利用了一个可从该公司网站下载的 Windows 版 Comm100 桌面代理应用程序。 目前尚不清楚此次攻击的规模,但据说该木马文件已在北美和欧洲的工业、医疗保健、技术、制造、保险和电信部门的组织中发现。 Comm100 是一家为企业提供实时音频/视频聊天和客户参与软件的加拿大供应商。它声称在 51 个国家/地区拥有超过 15,000 名客户。 “安装程序于 2022 年 9 月 26 日 14:54:00 UTC 使用有效的 Comm100 Network Corporation 证书签署,”该公司指出,并补充说它一直可用到 9 月 29 日。 嵌入在武器化的可执行文件中的是一个基于 JavaScript 的植入程序,它执行托管在远程服务器上的第二阶段 JavaScript 代码,该代码旨在为攻击者提供秘密的远程 shell 功能。 作为后期利用活动的一部分,还部署了一个名为 MidlrtMd.dll 的恶意加载程序 DLL,它启动内存中的 shellcode 以将嵌入式有效负载注入新的记事本进程。 供应链妥协,如SolarWinds和Kaseya的妥协,正成为威胁行为者瞄准广泛使用的软件提供商以在下游客户网络中立足的一种越来越有利可图的策略。 在撰写本文时,没有一家安全供应商将安装程序标记为恶意。在负责任的披露之后,该问题已通过发布更新的安装程序(10.0.9) 得到解决。 CrowdStrike 基于恶意软件中存在中文评论以及针对东亚和东南亚的在线赌博实体(中国已经建立的兴趣领域),以适度的信心将这次攻击与与中国有联系的行为者联系起来入侵者。 也就是说,此活动中提供的有效负载与之前确定为由该组织运营的其他恶意软件系列不同,这表明其攻击性武器库有所扩展。 在撰写本文时,尚不清楚攻击者是如何设法访问 Comm100 的内部系统并毒害合法安装程序的。 CrowdStrike 没有透露对手的名字,但 TTP 指向了一个名为Earth Berberoka(又名 GamblingPuppet)的威胁行为者,该攻击者在今年早些时候被发现使用名为MiMi的虚假聊天应用程序攻击赌博业. 标记安装程序
