3. Taraf Risk Yönetimi , Siber Suçlar , Siber Savaş / Ulus-Devlet Saldırıları
3CX Masaüstünü Hacklemek İçin Kullanılan Araçlar ve Kod Siber Casusluk Grubunun Katılımını Onaylıyor
Prajeet Nair (@prajeetspeaks) •
1 Nisan 2023
Güvenlik araştırmacıları, büyük çok uluslu şirketler tarafından kullanılan bir sesli ve görüntülü arama masaüstü istemcisi olan 3CX’e yönelik yazılım tedarik zinciri saldırısından Kuzey Koreli Lazarus grubunun sorumlu olduğuna dair daha fazla kanıt ortaya çıkardı.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
Siber güvenlik firması Volexity, Sophos, Crowdstrike ve diğerleri, saldırıda kullanılan araçların analizi sırasında Lazarus grubuna atıfın ortaya çıktığını söyledi.
Volexity, “Kabuk kodu dizisi yalnızca ICONIC yükleyicide ve Lazarus ile bağlantılı olduğu bilinen APPLEJEUS kötü amaçlı yazılımında kullanılmış gibi görünüyor.” Dedi.
Sophos araştırmacıları ayrıca kodun daha önce Lazarus grubuna atfedilen olaylarda görüldüğünü söyledi.
Sophos, “Bu olaydaki kod, önceki örneklerle bayt bayt eşleşiyor,” dedi.
CrowdStrike’daki araştırmacılar ayrıca kodu analiz edip tersine mühendislik uyguladılar ve tehdit aktörünün Lazarus siber casusluk grubunun başka bir adı olan Labyrinth Chollima olduğunu belirlediler.
CrowdStrike, “Aktif hale geldiğinde, HTTPS işaret yapısı ve şifreleme anahtarı, CrowdStrike tarafından 7 Mart 2023’te gözlemlenenlerle eşleşiyor, kampanya yüksek bir güvenle DPRK-nexus tehdit aktörü LABYRINTH CHOLLIMA’ya atfediliyor,” diyor CrowdStrike.
Lazarus’un, 2014’teki Sony Pictures hack’i ve 2017’deki WannaCry fidye yazılımı saldırıları da dahil olmak üzere bir dizi yüksek profilli saldırı gerçekleştirdiğinden şüpheleniliyor.
Bu saldırılardan bu yana, FBI da dahil olmak üzere ABD devlet kurumları, Kuzey Kore destekli bilgisayar korsanları hakkında düzenli uyarılar yayınladı ve rejimle çalıştığından şüphelenilen bilgisayar korsanlığı gruplarıyla ilişkili yaklaşık 30 kötü amaçlı yazılım çeşidi hakkında veri yayınladı.
Florida merkezli 3CX, Toyota, Mercedes-Benz, Coca-Cola, McDonalds ve Britanya Ulusal Sağlık Servisi gibi kuruluşlarda günlük 12 milyona varan kullanıcısı olan “600.000’den fazla şirketin güvendiğini” söyledi.
3CX CEO’su Nick Galea, şirketin olayı araştırması için Google’ın bir yan kuruluşu olan siber güvenlik firması Mandiant’ı tuttuğunu söyledi.
Volexity, 3CX’in kendi web sitesinde, çeşitli uç nokta algılama ve yanıt ve antivirüs satıcılarının 22 Mart 2023’te yazılım güncellemelerinden kötü amaçlı etkinliği işaretlemeye başladığını belirten genel forum ilanlarını belirlediğini söylüyor, ancak şirket, kötü niyetli etkinliğin muhtemelen çok daha önce başladığını söyledi.
3CX forumunda Brendan D adlı bir kullanıcı da 22 Mart’ta “Bu sorunu başka A/V satıcılarında gören başka biri var mı?” bir blog gönderisinde, “Masaüstü istemcisinden başlatılan masaüstü güncellemesi için SentinelOne’dan gelen tehdit uyarıları.”
SentinelOne, sızma çerçevesi veya kabuk kodu, kaçırma, dolaylı komut ve kod enjeksiyonu gibi yazılım istismarı örneklerinin tespit edilmesi konusunda uyarıda bulunmuştu.
Diğer birkaç kullanıcı sohbete katıldı ve benzer sorunlar hakkında yorum yaptı. Skuers adlı bir kullanıcı, sorunu çözmek için 3CX’i aradı.
“Kulağa ideal gelse de, binlerce olmasa da yüzlerce AV çözümü var ve bir olay meydana geldiğinde onlara her zaman ulaşamıyoruz. Uygulamamız için Electron çerçevesini kullanıyoruz. Belki de bazılarının işlevselliğini engelliyorlardır. ?” 3CX destek ekibinden bir üye yanıt verdi.
Saldırı, savunmasız bir Electron yazılım kitaplığı dosyasına kadar izlendi. Electron, kullanıcı arabirimleri için açık kaynaklı bir çerçevedir. Bilgisayar korsanları, 3CX’in truva atına dönüştürülmüş sürümünün normal şekilde çalışmasını sağlamak için çok çaba sarf etti. Sophos analisti Paul Ducklin, 3CX’in özel kodunu değiştirmeye çalışmak yerine kaynak kodun Electron şubesine kötü amaçlı kod enjekte ettiklerini yazdı.