Google Cloud’dan Mandiant, yaygın 3CX tedarik zinciri olayının yalnızca başka bir yazılım tedarik zinciri olayı sayesinde meydana geldiğini gösteren kanıtları ortaya çıkardıktan sonra, şimdiye kadarki ilk çift yazılım tedarik zinciri saldırısı örneğini gözlemlediğini söyledi.
Mart ayı sonlarında, bir yazılım tedarik zinciri ihlali, Mandiant tarafından UNC4736 (namı diğer Lazarus) olarak izlenen Kuzey Koreli bir tehdit aktörünün, 3CX DesktopApp 18.12.416’nın truva atı içeren bir sürümü aracılığıyla kötü amaçlı yazılım yaymasını sağladı.
Kusurlu 3CX uygulaması, GitHub’da barındırılan şifrelenmiş simge dosyalarından komut ve kontrol (C2) sunucularını alan SUDDENICON indiricisini çalıştırır. Şifresi çözülmüş C2 sunucusu daha sonra, ICONICSTEALER olarak bilinen bir veri madencisi olan üçüncü aşama bir yükü indirir.
Bu, tehdit tespit platformları kötü amaçlı etkinlik nedeniyle 3CX DesktopApp’i işaretlemeye ve engellemeye başladığında ortaya çıktı.
Şimdi, 3CX’in sistemlerine, X_TRADER uygulaması için kötü amaçlı yazılım içeren bir yükleyicinin sızdığı görülüyor. X_TRADER, Chicago merkezli Trading Technologies tarafından geliştirilen ve üç yıldan uzun bir süre önce kullanımdan kaldırılan bir vadeli işlem platformudur.
X_TRADER’ın kullanım ömrünün sonuna gelen sürümünün gizliliği ilk kez Şubat 2023’te Mandiant’ın Google Tehdit Analizi Grubundaki (TAG) yeni grupları tarafından gün ışığına çıkarıldı. Bu soruşturma, web sitesinin Lazarus tarafından uzaktan kod yürütme yoluyla ele geçirildiğini iddia etti ( RCE) güvenlik açığı ve ziyaretçileri istismar etmek için gizli bir iFrame barındırıyordu.
O sırada Google TAG, bu etkinliğin, kripto para platformlarını hedeflemek için kullandığı bir kötü amaçlı yazılım olan AppleJEUS olarak bilinen bir Lazarus etkinliği kümesiyle örtüştüğünü belirledi.
3CX’e X_TRADER’ın lekeli sürümü aracılığıyla erişen Lazarus, daha sonra kimlik bilgilerini toplayabildi ve 3CX’in sistemleri arasında yanal olarak hareket edebildi ve sonunda hem Windows hem de macOS oluşturma ortamlarından ödün verdi ve DesktopApp ile oynamasına olanak sağladı.
Mandiant’ın araştırma ekibi yeni bir ifşa blogunda “Belirlenen yazılım tedarik zinciri uzlaşması, ek bir yazılım tedarik zinciri uzlaşmasına yol açtığının farkında olduğumuz ilk sorundur” diye yazdı.
“Bu, özellikle bir tehdit aktörü bu soruşturmada gösterildiği gibi izinsiz girişleri zincirleme yapabildiğinde, bu tür bir uzlaşmanın potansiyel erişimini gösteriyor. UNC4736 faaliyeti üzerine yapılan araştırma, bunun büyük olasılıkla finansal olarak motive olmuş Kuzey Koreli tehdit aktörleriyle bağlantılı olduğunu gösteriyor.
“Yazılım tedarik zinciri tavizlerinin kullanılması, rejim destekli operatörlerin ağ erişimlerini kötü amaçlı yazılımları dağıtmak için yaratıcı yollarla, modüler kötü amaçlı yazılım geliştirmek için belirli bir derecede karmaşıklık, diğer sektörlere geçiş ve devam eden izinsiz giriş kampanyalarını etkinleştirmek için kullanabildiğini gösteriyor. Kuzey Kore rejiminin çıkarları ve öncelikleriyle uyumlu çok çeşitli saldırı operasyonları için” dediler.
Bir Trading Technologies sözcüsü Computer Weekly’ye şunları söyledi: “Bunun yalnızca geçen hafta dikkatimizi çektiği düşünülürse, Mandiant’ın raporundaki iddiaları doğrulama olanağımız olmadı. Kesin olarak bildiğimiz şey, 3CX’in Trading Technologies’in satıcısı veya müşterisi olmadığıdır. İki şirket arasında herhangi bir ticari ilişki bulunmamaktadır. Bir 3CX çalışanının X_TRADER’ı neden indirmiş olabileceğine dair hiçbir fikrimiz yok.
“Mandiant’ın raporunda atıfta bulunulan X_TRADER yazılımı, Nisan 2020’de kullanımdan kaldırılan kurumsal türev alım satım işlemlerine yönelik profesyonel bir alım satım yazılımı paketiydi. Müşterilerimiz, 18 aylık kullanımdan kaldırma süresi boyunca, onlara Nisan’dan sonra artık X_TRADER’ı desteklemeyeceğimizi veya hizmet vermeyeceğimizi bildiren birden fazla iletişim aldı. 2020.
“TT’nin 2020’nin başlarından sonra X_TRADER’ı barındırmayı, desteklemeyi ve hizmet vermeyi durdurduğu göz önüne alındığında, kimsenin yazılımı indirmesi için bir neden yoktu. Ayrıca, bu olayın mevcut TT platformuyla tamamen alakasız olduğunu da vurgularız.”
kapsamlı destek
Saldırının kaynağıyla ilgili ilk kafa karışıklığına ve karışık mesajlara rağmen 3CX, soruşturması sırasında Mandiant ile yoğun bir şekilde çalışıyor. 11 Nisan’da tamamen siber dayanıklılığını güçlendirmeye odaklanan yeni bir DesktopApp güncellemesi yayınladı. Ayrıca mevcut müşteri aboneliklerini üç ay uzattı.
“Forumlarda pratik tavsiyeler ve manevi destekle bizi aktif olarak destekleyen ortaklarımızdan ve müşterilerimizden gelen yoğun destek karşısında şaşkına döndük. Teşekkürler,” diye yazdı 3CX CEO’su Nick Galea.
“Saldırı hakkında bilgi yayınlayan ve bize ve müşterilerimizin saldırıyı yönlendirmesine yardımcı olan sayısız güvenlik araştırmacısına ve uzmanına da gerçekten müteşekkiriz.”
3CX, küçük işletmelerden hükümet ve kamu sektörü kuruluşlarına ve büyük işletmelere kadar tüm dünyada binlerce müşteriye sahiptir.
Güvenlik ihlalinden kaynaklanan aşağı yönlü siber saldırılardan etkilenmiş olabilecek müşterilerin kesin sayısı açıklanmadı.