Dalış Özeti:
- 3CX tuttu olay müdahale firması Mandiant Araştırmacıların Kuzey Kore ile bağlantılı gelişmiş bir kalıcı tehdit aktörüne atfettiği bir tedarik zinciri saldırısını araştırmak.
- Şirket, Perşembe günü müşterilerine Electron Windows uygulamasının bir güncellemesinde bulunan ciddi bir güvenlik sorunu hakkında bilgi verdi. Sorun, Electron Mac uygulamasının çeşitli sürümlerinde de bulundu. 3CX, dünya çapında 600.000’den fazla kurumsal müşteriye iş telefonu, video konferans ve mesajlaşma uygulamaları sağlar.
- Güncellenen bir bilgiye göre Google, şirketin yazılım güvenlik sertifikasını geçersiz kıldı. 3CX CEO’su Nick Galea’dan blog yazısı. Galea, Cuma günü yaptığı açıklamada, 3CX tarafından Perşembe günü yayınlanan Microsoft yazılım yükleyici masaüstü uygulama dosyalarının artık Google Chrome kullanılarak indirilemeyeceğini ve birkaç antivirüs satıcısının eski sertifikayı kullanan yazılımları engellediğini söyledi.
Dalış Bilgisi:
CrowdStrike alındı Güvenlik firması, 3CX masaüstü uygulamasında yasal olarak imzalanmış bir ikili dosyadan beklenmeyen kötü amaçlı etkinlik olduğunu söyledi. Bu, bir dış tehdit aktörü tarafından kontrol edilen altyapıya işaret verme, uygulamalı klavye etkinliği ve ikinci aşama yüklerin konuşlandırılmasını içeriyordu.
CrowdStrike araştırmacıları, saldırıları, Kore Demokratik Halk Cumhuriyeti ile bağlantılı üretken, gelişmiş ve kalıcı bir tehdit olan Labyrinth Chollima adlı bir tehdit aktörüne bağladı.
Araştırmacılar Palo Alto Ağları Birimi 42 Perşembe günü geliştiricinin web sitesindeki masaüstü uygulamasının, uygulamayı iki kötü amaçlı kitaplık ile yüklediğini söyledi. Kitaplıklar, hedeflenen sistemlere bir arka kapı yüklemek için kabuk kodu çalıştıracak ve kurban makinelere ek kötü amaçlı yazılımların yüklenmesine izin verecek.
Palo Alto Networks, birden fazla parmak izi almayı başardı. Potansiyel olarak savunmasız 3CX uygulamasını kullanan 199 ülkede 247.000 farklı IP adresiUnit 42’deki tehdit istihbaratı direktörü Jen Miller-Osborn’a göre.
Palo Alto Networks, telemetrinin 127 müşteri sisteminde kabuk kodu çalıştırmaya çalışan 3CX masaüstü uygulaması sürecini içeren etkinlik yakaladığını söyledi. Şirket, 9-30 Mart tarihleri arasında 1.832 benzersiz sistemde bu olayların 5.796’sını gözlemledi.
Miller-Osborn e-posta yoluyla, “Yazılım dünya çapında yaygın olarak kullanıldığından, bir tedarik zinciri saldırısının ilk günlerinde olmamız mümkün,” dedi.