Symantec’in Tehdit Avcısı Ekibine göre, geçen ayki 3CX ihlaline yol açan X_Trader yazılım tedarik zinciri saldırısı, Amerika Birleşik Devletleri ve Avrupa’daki en az birkaç kritik altyapı kuruluşunu da etkiledi.
Trading Technologies ve 3CX saldırılarıyla bağlantılı Kuzey Kore destekli tehdit grubu, VEILEDSIGNAL çok aşamalı modüler arka kapıyı kurbanların sistemlerine dağıtmak için X_Trader yazılımı için trojanlı bir yükleyici kullandı.
Kötü amaçlı yazılım yüklendikten sonra kötü amaçlı kabuk kodu yürütebilir veya güvenliği ihlal edilmiş sistemlerde çalışan Chrome, Firefox veya Edge işlemlerine bir iletişim modülü yerleştirebilir.
Şirket bugün yayınladığı bir raporda, “Symantec’in Tehdit Avcısı Ekibi tarafından bugüne kadar yapılan ilk soruşturma, kurbanlar arasında biri ABD’de ve diğeri Avrupa’da olmak üzere enerji sektöründeki iki kritik altyapı kuruluşunun olduğunu ortaya çıkardı.”
“Buna ek olarak, finansal ticaretle uğraşan diğer iki kuruluş da ihlal edildi.”
Trading Technologies tedarik zinciri tavizi, finansal olarak motive edilmiş bir kampanyanın sonucu olsa da, Kuzey Kore destekli bilgisayar korsanlığı gruplarının siber casuslukla da tanındığını düşünürsek, çok sayıda kritik altyapı kuruluşunun ihlali endişe verici.
Bu tedarik zinciri saldırısının bir parçası olarak tehlikeye atılan stratejik kuruluşların da sonraki istismarlar için seçilmesi çok muhtemeldir.
Symantec iki enerji sektörü kuruluşunun adını vermezken, Symantec Threat Hunter Team Güvenlik Müdahale Direktörü Eric Chien, BleepingComputer’a bunların “şebekeye enerji üreten ve tedarik eden güç tedarikçileri” olduklarını söyledi.
Geniş kapsamlı tedarik zinciri saldırısı
Truva atı haline getirilmiş X_Trader yazılımının yardımıyla 3CX’in yanı sıra en az dört varlığı daha ihlal ettikten sonra, Kuzey Kore bilgisayar korsanlığı kampanyasının henüz keşfedilmemiş başka kurbanları da etkilemesi kuvvetle muhtemeldir.
Symantec, “3CX’in daha önceki başka bir tedarik zinciri saldırısı tarafından ihlal edildiğinin keşfedilmesi, daha fazla kuruluşun bu kampanyadan etkilenme olasılığını artırdı ve şu anda başlangıçta inanıldığından çok daha geniş kapsamlı olduğu ortaya çıkıyor” diye ekledi.
“Bu ihlallerin arkasındaki saldırganlar, yazılım tedarik zinciri saldırıları için başarılı bir şablona sahip ve ayrıca benzer saldırılar göz ardı edilemez.”
Perşembe günü Mandiant, UNC4736 olarak izlediği Kuzey Koreli bir tehdit grubunu Mart ayında VoIP şirketi 3CX’i vuran kademeli tedarik zinciri saldırısıyla ilişkilendirdi.
UNC4736, AppleJeus Operasyonunun arkasındaki finansal motivasyona sahip Kuzey Kore destekli Lazarus Group ile ilgilidir. [1, 2, 3]daha önce Google’ın Tehdit Analizi Grubu (TAG) tarafından Trading Technologies’in web sitesinin ele geçirilmesiyle bağlantılıydı.
Mandiant, saldırı altyapısı çakışmasına bağlı olarak UNC4736’yı UNC3782 ve UNC4469 olarak izlenen iki APT43 kötü amaçlı etkinlik kümesiyle de ilişkilendirdi.