Siber Savaş / Ulus Devlet Saldırıları , Dolandırıcılık Yönetimi ve Siber Suçlar
Kuzey Koreli Hackerlar Kullanıcı Arayüzü Kitaplık Dosyasını Zehirledi
Prajeet Nair (@prajeetspeaks) •
30 Mart 2023
Şüpheli Kuzey Koreli bilgisayar korsanları, büyük çok uluslu şirketler tarafından kullanılan bir sesli ve görüntülü arama masaüstü istemcisini trojanlaştırdı.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
Florida merkezli 3CX tarafından yapılan ve SentinelOne tarafından “SmoothOperator” olarak adlandırılan yazılıma yönelik tedarik zinciri saldırısı, bir yıldan uzun süren bir çalışma gibi görünüyor. Tehdit istihbaratı firması, arkasındaki tehdit aktörünün “Şubat 2022 gibi erken bir tarihte başlayan genişleyen bir altyapı seti” kaydettiğini söyledi. Bilgisayar korsanlarının, 3CX Masaüstü Uygulamasının birkaç yeni Windows ve Mac sürümü için yükleyicilere bir bilgi hırsızı yerleştirdiğine dair göstergeler 22 Mart’ta birikmeye başladı, ancak bir gecede patladı.
CrowdStrike, tehdit aktörünün, genellikle Lazarus Group olarak da bilinen bir siber casusluk grubu olan “Labyrinth Chollima” olarak tanımladığı bir grup olduğunu söyledi. 3CX CEO’su Nick Galea, sorunu kabul etmek ve uzak ana bilgisayar kullanıcıları için otomatik bir güncelleme ve önümüzdeki günlerde “yeni bir imzalı sertifika ile sıfırdan yeniden inşa edilen” başka bir uygulama için söz vermek için Perşembe günü şirket bloguna gitti. Bugün yayınlanan bir güncellemenin “güvenli olduğu kabul ediliyor ancak garantisi yok” diye ekledi. Bu arada müşterilerin uygulamayı kullanmaktan kaçınması gerektiğini yazdı.
Şirket, Toyota, Mercedes-Benz, Coca-Cola ve McDonalds gibi şirketlerde günlük 12 milyondan fazla kullanıcıya ulaşan “600.000’den fazla şirketin güvendiğini” söyledi. İngiltere’nin Ulusal Sağlık Servisi de bir müşteridir.
3CX CISO Pierre Jourdan, tehlikeye atılan uygulamalar tarafından kullanılan komuta ve kontrol alanlarının çoğunlukla bir gecede çevrimdışı olduğunu ve bunların arkasındaki tehdit grubunun, kötü amaçlı yazılımın bir sonraki aşamasını kime bulaştıracağı konusunda seçici olduğunu söyledi. “Sistemlerin büyük çoğunluğu, dosyaları uykuda olmasına rağmen, aslında hiçbir zaman virüs bulaşmamıştı” dedi.
WithSecure’dan yapılan analiz, Windows sürümünün “o zamandan beri kaldırılmış olan bir GitHub deposuna harici bir bağlantı gerektirdiğini gösteriyor. Bu, tehdit aktörünün müdahalesi olmadan mevcut enfeksiyon zincirlerinin başarısız olacağı anlamına geliyor” dedi.
Güvenlik açığı, zehirlenmiş bir Electron yazılım kitaplığı dosyasına kadar uzanıyor. Electron, kullanıcı arabirimleri için açık kaynaklı bir çerçevedir. Bilgisayar korsanları, 3CX’in truva atına dönüştürülmüş sürümünün olması gerektiği gibi normal şekilde çalışmasını sağlamak için büyük çaba sarf etti. Sophos analisti Paul Ducklin, 3CX’in özel kodunu değiştirmeye çalışmak yerine kaynak kodun Electron şubesine kötü amaçlı kod yerleştirdiklerini yazdı.
“Genel olarak, uygulamanız ne kadar büyükse, ters gitmesi için o kadar çok yol vardır” diye ekledi.