VoIP iletişim şirketi 3CX bugün, geçen ayki tedarik zinciri saldırısının arkasında Kuzey Koreli bir bilgisayar korsanlığı grubunun olduğunu doğruladı.
3CX CISO Pierre Jourdan bugün “3CX izinsiz girişi ve tedarik zinciri saldırısıyla ilgili Mandiant soruşturmasına dayanarak, etkinliği UNC4736 adlı bir kümeye atfediyorlar. Mandiant, UNC4736’nın Kuzey Kore bağlantı noktasına sahip olduğunu büyük bir güvenle değerlendiriyor” dedi.
Saldırganlar, 3CX sistemlerine Taxhaul (veya TxRLoader) olarak bilinen ve Mandiant’ın Coldcat adlı ikinci aşama kötü amaçlı yazılım indiricisini devreye alan kötü amaçlı yazılım bulaştırdı.
Kötü amaçlı yazılım, meşru Microsoft Windows ikili dosyaları aracılığıyla DLL yandan yükleme yoluyla güvenliği ihlal edilmiş sistemlerde kalıcılık elde ederek tespit edilmesini zorlaştırdı.
Ayrıca, sistem başlatılırken tüm virüs bulaşmış cihazlara otomatik olarak yüklenir ve saldırganlara internet üzerinden uzaktan erişim sağlar.
Jourdan, “Windows’ta saldırgan, TAXHAUL kötü amaçlı yazılımına karşı kalıcılık elde etmek için DLL yandan yüklemeyi kullandı. DLL, meşru Windows hizmeti IKEEXT tarafından meşru Windows ikili svchost.exe aracılığıyla yüklendi” dedi.
Saldırıda hedef alınan macOS sistemlerine, Mandiant’ın önceden bilinen kötü amaçlı yazılım aileleriyle çakışıp çakışmadığını belirlemek için halen analiz etmekte olduğu Simplesea adlı kötü amaçlı yazılım da arka kapıdan bağlandı.
Jourdan, “Desteklenen arka kapı komutları, kabuk komut yürütme, dosya aktarımı, dosya yürütme, dosya yönetimi ve yapılandırma güncellemeyi içerir. Sağlanan bir IP ve bağlantı noktası numarasının bağlantısını test etmek için de görevlendirilebilir,” diye ekledi Jourdan.
UNC4736 tarafından azureonlinecloud da dahil olmak üzere saldırganların kontrolü altındaki birden çok komut ve kontrol (C2) sunucusuna bağlı 3CX ağında dağıtılan kötü amaçlı yazılım[.]com, akamaicontainer[.]com, gazetecilik[.]org ve msboxonline[.]com.
3CX, tedarik zinciri saldırısının en başta nasıl gerçekleştirildiğini, geliştirme ortamının güvenliğinin ihlal edilip edilmediğini veya başka bir yöntemle mi gerçekleştirildiğini henüz açıklamadı.
Saldırının ilk ifşa edilmesinden bu yana Kaspersky, Kuzey Kore destekli Lazarus bilgisayar korsanlığı grubu tarafından en az 2020’den beri kripto para şirketlerine karşı kullanılan Gopuram olarak bilinen bir arka kapının da aynı olayda ikinci aşama bir yük olarak düşürüldüğünü keşfetti. sınırlı sayıda 3CX müşterisinin güvenliği ihlal edilmiş cihazları.
3CX, 29 Mart’ta saldırı haberlerinin ortaya çıkmasından bir gün sonra ve müşterilerin yazılımın güvenlik çözümleri tarafından kötü amaçlı olarak etiketlendiğini bildirmesinden bir hafta sonra, 3CXDesktopApp Electron tabanlı masaüstü istemcisinin kötü amaçlı yazılım dağıtmak için bir tedarik zinciri saldırısında ele geçirildiğini ilk kez doğruladı. SentinelOne, CrowdStrike, ESET, Palo Alto Networks ve SonicWall.
Şirket, müşterilere etkilenen Electron masaüstü istemcisini tüm Windows ve macOS cihazlarından kaldırmalarını (toplu kaldırma komut dosyası burada mevcuttur) ve hemen benzer özellikler sunan aşamalı web uygulaması (PWA) Web İstemcisi Uygulamasına geçmelerini tavsiye etti.
Olaydan sonra (CVE-2023-29059 olarak izlenir)) BleepingComputer ifşa edildiğinde, tehdit aktörlerinin yükleri yasal olarak imzalanmış şekilde paketleyen kötü amaçlı DLL’leri kamufle etmek için 10 yıllık bir Windows güvenlik açığından (CVE-2013-3900) yararlandığını da bildirdi.
Güvenlik araştırmacıları ayrıca yaratıldı 3CX kullanıcılarının Mart 2023 tedarik zinciri saldırısının IP adreslerini potansiyel olarak etkileyip etkilemediğini öğrenmelerine yardımcı olan web tabanlı bir araç.
3CX, 3CX Telefon Sisteminin dünya çapında 600.000’den fazla şirket ve American Express, Coca-Cola, McDonald’s, Air France, IKEA, İngiltere Ulusal Sağlık gibi yüksek profilli şirketler ve kuruluşları içeren müşteri listesiyle günde 12 milyondan fazla kullanıcı tarafından kullanıldığını söylüyor. Servis ve birden fazla otomobil üreticisi.