Comm100 Live Chat uygulamasına karşı gerçekleştirilen yeni bir tedarik zinciri saldırısının parçası olarak, uygulamanın resmi yükleyicisi truva atına maruz bırakıldı.
Comm100 Canlı Sohbet uygulaması, işletmeler tarafından web sitesi ziyaretçileriyle etkileşim kurmak ve müşterilerle iletişim kurmak için yaygın olarak kullanılan popüler bir Kanada SaaS uygulamasıdır.
CrowdStrike’daki siber güvenlik analistleri, 26-29 Eylül tarihleri arasında trojanlı varyantın satıcının web sitesinde mevcut olduğunu iddia etti.
Truva atlı yükleyiciye iliştirilmiş geçerli bir dijital imza vardı. Başlatma sırasında anti-virüs çözümleri tetiklenmezse, gizli bir tedarik zinciri saldırısı kesintiye uğramaz ve böylece saldırının tespit edilmeden ilerlemesine izin verilir.
Saldırı
Şirketin web sitesinden Comm100 tarafından imzalanan ve saldırıda kullanılan bir Comm100 masaüstü aracı uygulaması indirilir.
Şu anda, saldırının ne ölçüde gerçekleştirildiği bilinmiyor. Ancak, trojan bulaşmış dosyaların Kuzey Amerika ve Avrupa’da aşağıdaki sektörlerde tanımlandığına dair kanıtlar var:-
- Sanayi
- Sağlık hizmeti
- teknoloji
- Üretme
- Sigorta
- Telekom
51 ülkede 15.000’den fazla müşteriye Comm100 tarafından hizmet verildiği söyleniyor.
Arka kapı
main.js dosyasına, tehdit aktörleri tarafından bir JavaScript arka kapısı yerleştirildi. Arka kapının ikinci aşaması sırasında, sabit kodlanmış bir URL tarafından gizlenmiş bir JS betiği alınır.
İkinci aşama komut dosyasını indirmek ve yürütmek için tehdit aktörleri tarafından kullanılan sabit kodlanmış URL:-
- http[:]//api.amazonawstekrar oynat[.]com/livehelp/toplama
Tehdit aktörleri, kötü niyetli faaliyetlerini gerçekleştirmek için MidlrtMd.dll adlı kötü niyetli bir yükleyici DLL’i de dağıttı. Bunun yardımıyla, bu bellek içi kabuk kodu aracılığıyla tehdit aktörleri tarafından gömülü bir payload ile yeni bir Not Defteri işlemi (notepad.exe) enjekte edilir.
Çinli Tehdit Aktörleri Varsayılıyor
CrowdStrike’ın değerlendirmesine göre, saldırıdan Çin merkezli tehdit aktörleri sorumlu. Daha önce, bu grubun geçmişte Doğu ve Güneydoğu Asya çevrimiçi kumar işletmelerini hedef aldığı görülüyordu.
Bu kötü amaçlı yazılım aileleri, daha önce grup tarafından çalıştırıldığı belirlenenlerden, teslim edilen yük açısından farklıdır. Bundan örgütün saldırgan cephaneliğinin genişlediği açıktır.
Aşağıda, güvenlik uzmanlarının tehdit aktörlerinin Çinli olabileceğini varsaymak için dikkate aldığı tüm faktörlerden bahsettik:-
- Kötü amaçlı yazılım dağıtmak için sohbet yazılımı kullanımı
- MidlrtMd.dll adlı kötü amaçlı bir DLL dosyasını yüklemek için Microsoft Meta Veri Birleştirme Yardımcı Programı ikili dosyasının kullanılması
- API ile birlikte Microsoft ve Amazon temalı etki alanlarını kullanan C2 etki alanı adlandırma kuralı. alt alanlar
- Alibaba altyapısında barındırılan C2 alan adları
Comm100, güvenlik uzmanları tarafından sorun hakkında zaten bilgilendirildi. Bu nedenle, geliştiriciler tarafından temiz bir yükleyici, sürüm 10.0.9 yayınlandı. Kullanıcıların Canlı Sohbet yazılımlarını mümkün olan en kısa sürede güncellemeleri şiddetle tavsiye edilir.
Sıfır Güven Ağı ile Siber Saldırı – Ücretsiz E-Kitap İndirin