Geçen ayki 3CX tedarik zinciri saldırısı ile ilgili bir soruşturma, şüpheli Kuzey Koreli saldırganların hisse senedi ticareti otomasyon şirketi ticaret teknolojileri alanını truva yazılım yapılarını zorlamak için ihlal ettiği başka bir tedarik zinciri uzlaşmasından kaynaklandığını keşfetti.
BleepingComputer'a verdiği demeçte, "Henüz tehlikeye atıldıklarını bilmeyen bir dizi kuruluş olduğundan şüpheleniyoruz." Dedi.
Diyerek şöyle devam etti: "Bu bilgiyi çıkardıktan sonra, şirketlerin tehlikeye girdiklerini ve olaylarını içerdiklerini belirlemeleri için sürecin hızlandırılmasına yardımcı olacağından ümit ediyoruz."
Bir çalışanın kişisel bilgisayarına indirilen ve yüklenen Ticaret Technologies 'X_Trader yazılımı için kötü niyetli yükleyici, Shellcode'u yürütmek için tasarlanmış çok aşamalı modüler arka kapılı örtülüsignal dağıttı, krom, firefox veya kenar işlemlerine bir iletişim modülü enjekte etti ve kendini sonlandırdı.
3CX'in olayı araştırmasına yardımcı olan siber güvenlik firması Mantiant'a göre, saldırının arkasındaki tehdit grubu (UNC4736 olarak izlendi), kurumsal kimlik bilgilerini çalışanın cihazından çaldı ve sonunda 3CX'in ağından yanal olarak hareket etmek için kullandı. Ortamlar.
Mantiant, "Windows yapı ortamında saldırgan, IkeExt hizmeti için DLL kaçırma yaparak devam eden ve yerel sistem ayrıcalıklarıyla koşarak devam eden Taxhaul başlatıcısını ve ColdCat indiricisini konuşlandırdı." Dedi.
"MacOS Build Server, bir kalıcılık mekanizması olarak LaunchDaemons kullanılarak Poolrat arka kapı ile tehlikeye atıldı."
Kötü amaçlı yazılım, meşru Microsoft Windows ikili dosyaları aracılığıyla DLL yan yükleme yoluyla kalıcılık elde etti, bu da tespit edilmesini zorlaştırdı.
Ayrıca, başlangıç sırasında otomatik olarak yüklendi ve saldırganlara internet üzerinden tehlikeye atılan tüm cihazlara uzaktan erişim sağladı.
Mantiant, UNC4736'nın, Google'ın Tehdit Analiz Grubu (TAG) tarafından www.tradingtechnologies [.] COM web sitesinin uzlaşmasına da bağlı olan Applejeus [1, 2, 3] operasyonunun arkasındaki finansal olarak motive olmuş Kuzey Kore Lazarus Grubu ile ilişkili olduğunu söylüyor. Mart 2022'den bir rapor.
Altyapı örtüşmesine dayanarak, siber güvenlik firması UNC4736'yı UNC3782 ve UNC4469 olarak izlenen iki APT43 şüpheli kötü niyetli aktivite ile ilişkilendirdi.
Google Cloud'un Mantion Analisti Fred Plan, "UNC4736'nın, etiket blogunda belirtilen aynı tehlikeye atılan site aracılığıyla dağıtılan Truva Azalanmış X_trader uygulamasına dayanan aynı Kuzey Koreli operatörlerle bağlantılı olduğunu belirledik." Dedi.
Diyerek şöyle devam etti: "Bu, TTP'lerdeki benzerliklerle birleştiğinde ve diğer altyapı üzerinde örtüşme, bize bu operatörlerin birbirine bağlı olduğuna dair ılımlı güven veriyor."
29 Mart'ta 3CX, elektron tabanlı masaüstü istemcisi 3CXDESKTOPPApp'ın bir tedarik zinciri saldırısının ortaya çıkmasından bir gün sonra kötü amaçlı yazılım dağıtmaktan ödün verildiğini kabul etti.
Müşteri raporlarına, yazılımının Crowdstrike, ESET, Palo Alto Networks, Sentinelone ve Sonicwall dahil olmak üzere çeşitli siber güvenlik şirketleri tarafından kötü niyetli olarak tanımlandığını bildirmek bir haftadan fazla sürdü.
Şirketin CEO'su Nick Galea, saldırının açıklamasından sonra 3CX masaüstü istemcisi tarafından kullanılan bir FFMPEG ikili olarak ilk saldırı vektörü olabileceğini söyledi. Ancak FFMPEG, Galea’nın iddialarını reddetti ve bunun sadece tehlikeye atılmayan kaynak kodu sağladığını söyledi.
3CX, müşterilere elektron masaüstü istemcisini tüm Windows ve MacOS cihazlarından kaldırmalarını tavsiye etti (burada bir Mass-Unutall komut dosyası burada bulunabilir) ve hemen Aşamalı Web Uygulaması (PWA) Web İstemcisi uygulamasına benzer özellikler sağlar.
3CX'in açıklamasına yanıt olarak, bir güvenlik araştırmacıları ekibi, şirket müşterilerinin IP adreslerinin Mart 2023 tedarik zinciri saldırısından potansiyel olarak etkilenip etkilendiğini belirlemelerine yardımcı olmak için web tabanlı bir araç oluşturdu.
Şirketin resmi web sitesine göre, 3CX telefon sisteminin günlük 12 milyondan fazla kullanıcısı var ve American Express, Coca-Cola, McDonald's, Air France, IKEA, The gibi şirketler dahil olmak üzere küresel olarak 600.000'den fazla işletme tarafından kullanılmaktadır. İngiltere'nin Ulusal Sağlık Servisi ve çoklu otomobil üreticileri.
Mantiant, "Belirlenen yazılım tedarik zinciri uzlaşması, ek bir yazılım tedarik zinciri uzlaşmasına yol açan ilk farkında olduğumuz." Dedi.
Diyerek şöyle devam etti: "Bu tür uzlaşmanın potansiyel erişimini, özellikle de bir tehdit oyuncusu bu soruşturmada gösterildiği gibi müdahaleleri zincirleyebildiğinde gösterir."
GÜNCELLEME: 3CX Olay Güncellemesine bağlantı eklendi.
Kritik altyapı, 3CX ihlalinin arkasındaki tedarik zinciri saldırısından da etkileniyor
3CX, tedarik zinciri saldırısının arkasındaki Kuzey Koreli bilgisayar korsanlarını onayladı
Kripto para birimi şirketleri 3CX tedarik zinciri saldırısında geri yüklendi
Bilgisayar korsanları bir tedarik zinciri saldırısında 3CX masaüstü uygulamasını tehlikeye atıyor
Lazarus Hacker'ları artık sahte iş teklifleri aracılığıyla Linux kötü amaçlı yazılımları itin
Kaynak: Bleeping Computer