3CX, Mandiant’ın şirketin geçen ay yaşadığı ve kripto para şirketlerini hedef alan bir tedarik zinciri saldırısıyla sonuçlanan uzlaşmayla ilgili bulguları hakkında bir ara rapor yayınladı.
Şunu keşfettiler:
- Saldırganlar, hedeflenen 3CX sistemlerine TAXHAUL (“TxRLoader” olarak da bilinir) kötü amaçlı yazılımı bulaştırdı;
- Yürütülen kabuk kodu, COLDCAT indiricisidir
- Ayrıca komut yürütme, dosya aktarımı, dosya yürütme, dosya yönetimi ve yapılandırma güncelleme özelliklerine sahip bir macOS arka kapısı olan SIMPLESEA’yı da buldular.
“Windows’ta saldırgan, TAXHAUL kötü amaçlı yazılımına kalıcılık sağlamak için DLL yandan yüklemeyi kullandı. DLL yandan yükleme, virüs bulaşmış sistemlerin saldırganın kötü amaçlı yazılımını yasal Microsoft Windows ikili dosyaları bağlamında yürütmesini tetikleyerek kötü amaçlı yazılım algılama olasılığını azaltır. Şirketin CISO’su Pierre Jourdan, kalıcılık mekanizması ayrıca saldırganın kötü amaçlı yazılımın sistem başlangıcında yüklenmesini sağlayarak saldırganın virüs bulaşmış sisteme internet üzerinden uzaktan erişimini sürdürmesini sağlıyor.
“Kötü amaçlı yazılım, aynı adlı yasal Windows ikili dosyasını taklit etmek için C:\Windows\system32\wlbsctrl.dll olarak adlandırıldı. DLL, meşru Windows hizmeti IKEEXT tarafından meşru Windows ikili dosyası svchost.exe aracılığıyla yüklendi.”
Mandiant, etkinliği hala Kuzey Kore bağlantı noktasına sahip bir tehdit aktörüne atfediyor.
Daha önce belirtildiği gibi, yandan yükleme için kullanılan DLL dosyası Microsoft tarafından imzalandı ve saldırganlar CVE-2013-3900’den yararlandığı için dosya değiştirildikten sonra imza geçersiz kılınmadı. (Microsoft Salı günü güvenlik açığını yeniden yayımladı, ancak düzeltme hâlâ isteğe bağlı.)
Yeni bir 3CX PWA versiyonu
CEO Nick Galea, 3CX yazılımının, kullanıcıların 3CX’i herhangi bir tarayıcıdan kullanmasına izin veren aşamalı web uygulaması (PWA) sürümünün bir güvenlik güncellemesini duyurdu.
Yeni sürüm, sistemdeki tüm web şifrelerini karma hale getirecek.
“Bu demek değil [the passwords] daha önce tamamen güvensizdi. Onlara erişmek için yine de yönetici haklarına ihtiyacınız vardı. Ancak bu iyi bir uygulama değil ve CVE-2021-45491’in konusu oldu” dedi.
“Yakında DesktopApp’ın yeni bir sürümünü yayınlayacak olsak da, ağ yönetimi nedenleriyle mümkün olan yerlerde PWA uygulamasını kullanmanın iyi olacağına inanıyoruz. Asıl arama için masa telefonu veya Android/iOS uygulaması kullanan tüm kullanıcılar PWA istemcisini kullanmalıdır.”
Şirket ayrıca hoş geldiniz e-postalarından web istemcisi ve yapılandırma dosyası parolasını kaldıracak ve web istemcisindeki Yönetici bölümüne erişimi IP adresine göre kısıtlama seçeneği sunacak.