Взлом 3CX был двойной атакой на цепочку поставок

Появились любопытные подробности недавней атаки по 3CX от Lazarus. Северокорейские криптостахановцы в очередной раз отличились: к атаке на цепочку поставок привела… другая их атака на цепочку поставок. А началось всё с того, что Lazarus скомпрометировали установщик софта для трейдинга X_Trader, который в 2022-м установил сотрудник 3CX. А его взломанный компьютер уже привёл к пошедшей через софт 3CX атаке. Исследователи из Mandiant пишут, что видят такое впервые.

Напомню, тогда десктопное приложение 3CX шло с малварью, позволявшей северокорейским злоумышленникам запускать произвольный код. А за масштабной атакой скрывались хирургические действия по установке бэкдоров в криптокомпании. И неизвестно, попали ли скомпрометированные версии X_Trader в какие-либо ещё компании. Между тем северокорейцам надо отдать должное – не перестают удивлять. Эй, приятель, мы слышали, тебе нравятся атаки на цепочку поставок…