Comm100聊天提供商被劫持以在供应链攻击中传播恶意软件

一个可能与中国有关联的威胁因素被归因于一次新的供应链攻击，该攻击涉及使用特洛伊木马安装程序为Comm100 Live Chat应用程序分发JavaScript后门。

网络安全公司CrowdStrike表示，此次攻击利用了一款可从该公司网站下载的已签署的Windows版Comm100桌面代理应用程序。

攻击的规模目前尚不清楚，但木马文件据称已在北美和欧洲的工业、医疗、技术、制造、保险和电信部门的组织中被识别。

Comm100是一家为企业提供实时音频/视频聊天和客户互动软件的加拿大供应商。它声称在51个国家拥有超过15000名客户。

该公司指出：“安装程序于2022年9月26日14:54:00 UTC使用有效的Comm100 Network Corporation证书签署，”该公司补充说，该证书一直有效到9月29日。

嵌入在武器化可执行文件中的是一个基于JavaScript的植入物，它执行托管在远程服务器上的第二阶段JavaScript代码，旨在为参与者提供秘密的远程shell功能。

作为攻击后活动的一部分，还部署了一个名为MidlrtMd的恶意加载程序DLL。dll，它启动内存中的外壳代码，将嵌入的有效负载注入新的记事本进程。

供应链妥协，如SolarWinds和Kaseya的妥协，正成为威胁行为体越来越有利可图的策略，以瞄准一家广泛使用的软件供应商，从而在下游客户网络中站稳脚跟。

截至撰写本文时，没有任何安全供应商将安装程序标记为恶意。在负责任的披露之后，该问题已通过发布更新的安装程序（10.0.9）得到解决。

CrowdStrike将此次攻击与一名与中国有联系的演员联系在一起，理由是该恶意软件中存在中文评论，并针对东亚和东南亚的网络赌博实体，这是中国入侵演员已经确定的兴趣领域。

也就是说，此次活动中交付的有效载荷不同于此前被认定为该组织运营的其他恶意软件家族，这表明其攻击性武器库正在扩大。

截至本文撰写之时，尚不清楚攻击者是如何设法访问Comm100的内部系统并毒害合法安装程序的。

CrowdStrike没有透露对手的名字，但TTP指向了一个名叫Earth Berberoka（又名gambling Puppet）的威胁演员，今年早些时候，该演员在攻击博彩业时使用了一个名为MiMi的假聊天应用程序。