Bir Mandiant soruşturması, 3CX’in popüler akıllı telefonuna yönelik ihlalin, satıcının personeli Trading Technologies’den güvenliği ihlal edilmiş bir yazılım yüklediğinde başladığını tespit etti.
İhlal, Symantec’in enerji ve finans sektörlerindeki kurbanları tespit ettiğini iddia etmesiyle 3CX’in ötesine de ulaştı.
Mandiant, ilk kez bir tedarik zinciri saldırıları gördüğünü söyledi ve parmağını “Trading Technologies tarafından sağlanan bir yazılım paketi olan X_Trader için kurcalanmış bir yükleyiciye” işaret etti.
Trading Technologies’e göre, X_Trader’ın 2018’de başlayan bir aşamalı olarak 2020’de durdurulması gerekiyordu.
Ancak Mandiant, 2022’de hala indirilebileceğini söyledi.
Mandiant, “Bu dosya ‘Trading Technologies International, Inc’ konusuyla imzalandı ve yine aynı dijital sertifikayla imzalanmış yürütülebilir Setup.exe dosyasını içeriyordu” dedi.
“Kötü amaçlı yazılımı dijital olarak imzalamak için kullanılan kod imzalama sertifikasının süresi Ekim 2022’de dolacak.”
Mandiant, güvenliği ihlal edilmiş yazılımın yüklenmesinin “karmaşık bir yükleme sürecine ve çok aşamalı modüler bir arka kapı olan VEILEDSIGNAL ve modüllerinin konuşlandırılmasına” yol açtığını söyledi.
VEILEDSIGNAL arka kapısını yerleştirdi ve GitHub’dan şifreli bir komut ve kontrol (C2) modülü indirdi.
C2, Chrome, Firefox veya Edge’den hangisini önce bulduysa onu kurdu. Ayrıca, Windows’u sunucusuna ilettiği gelen iletişimleri dinlemeye ayarladı.
Mandiant, “saldırganın hem Windows hem de macOS yapı ortamlarını tehlikeye atmayı başardığını” söyledi.
UNC4376 olarak adlandırılan Kuzey Koreli aktörlerin saldırının arkasında olduğuna dair önceki şüphelerini yineledi.
Symantec, o zamandan beri X_Trader’ın güvenliği ihlal edilmiş sürümünün başka kuruluşlar tarafından kurulduğunu iddia etti.
Şirketin tehdit avcısı ekibi kurbanların adını vermiyor, ancak ele geçirilen yazılımın enerji sektöründeki biri Kuzey Amerika ve diğeri Avrupa’da olmak üzere kritik bir altyapı şirketi ile iki finansal ticaret kuruluşunda bulunduğunu söyledi.
Symantec, “X_Trader’ın geliştiricisi Trading Technologies, enerji vadeli işlemleri de dahil olmak üzere vadeli işlem ticaretini kolaylaştırdığından, X_Trader tedarik zinciri saldırısının finansal olarak motive edilmiş olması muhtemel görünüyor” dedi.
Kritik altyapı hedeflerinin tehlikeye atılmasıyla ilgili olarak Symantec, “Kuzey Kore destekli aktörlerin hem casusluk hem de mali amaçlı saldırılarda bulunduğu biliniyor ve bir mali kampanya sırasında ihlal edilen stratejik açıdan önemli kuruluşların daha fazla istismar için hedef alınması göz ardı edilemez.”