Kurumsal iletişim hizmeti sağlayıcısı 3CX, Windows ve macOS için masaüstü uygulamasını hedef alan tedarik zinciri saldırısının Kuzey Kore bağlantılı bir tehdit aktörünün işi olduğunu doğruladı.
Bulgular, izinsiz girişin geçen ayın sonlarında ortaya çıkmasından sonra hizmetleri kaydedilen Google’a ait Mandiant tarafından yürütülen bir ara değerlendirmenin sonucu. Tehdit istihbaratı ve olay müdahale birimi, etkinliği kategorize edilmemiş takma adı altında izliyor UNC4736.
Siber güvenlik firması CrowdStrike’ın, taktik örtüşmelere atıfta bulunarak saldırıyı Labyrinth Chollima adlı bir Lazarus alt grubuna bağladığını belirtmekte fayda var.
Birden fazla güvenlik satıcısından alınan analizlere dayanan saldırı zinciri, ICONIC Stealer olarak bilinen bir bilgi hırsızını yüklemek için DLL yandan yükleme tekniklerinin kullanılmasını ve ardından kripto şirketlerini hedef alan seçici saldırılarda Gopuram adlı ikinci bir aşamanın kullanılmasını gerektiriyordu.
Mandiant’ın adli soruşturması, tehdit aktörlerinin 3CX sistemlerine, COLDCAT etiketli “karmaşık bir indirici” içeren kabuk kodunun şifresini çözmek ve yüklemek için tasarlanmış, TAXHAUL kod adlı bir kötü amaçlı yazılım bulaştırdığını ortaya çıkardı.
3CX, “Windows’ta saldırgan, TAXHAUL kötü amaçlı yazılımına karşı kalıcılık elde etmek için DLL yandan yüklemeyi kullandı” dedi. Kalıcılık mekanizması, saldırganın kötü amaçlı yazılımın sistem başlangıcında yüklenmesini sağlayarak, saldırganın virüs bulaşmış sisteme internet üzerinden uzaktan erişimini sürdürmesini sağlar.”
Şirket ayrıca, kötü niyetli DLL’nin (wlbsctrl.dll), meşru bir sistem işlemi olan svchost.exe aracılığıyla Windows IKE ve AuthIP IPsec Anahtarlama Modülleri (IKEEXT) hizmeti tarafından yüklendiğini söyledi.
Saldırıda hedef alınan macOS sistemlerinin, kabuk komutlarını çalıştırmak, dosya aktarmak ve yapılandırmaları güncellemek için HTTP aracılığıyla iletişim kuran C tabanlı bir kötü amaçlı yazılım olan SIMPLESEA olarak adlandırılan başka bir kötü amaçlı yazılım türü kullanılarak arka kapıdan kapatıldığı söyleniyor.
3CX ortamında tespit edilen kötü amaçlı yazılım türlerinin en az dört komut ve kontrol (C2) sunucusuyla temas kurduğu gözlemlenmiştir: azureonlinecloud[.]com, akamaicontainer[.]com, gazetecilik[.]org ve msboxonline[.]com.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
3CX CEO’su Nick Galea, geçen hafta bir forum gönderisinde, şirketin kötü amaçlı yazılımın fiilen etkinleştirildiği “bir avuç vakadan” haberdar olduğunu ve “politikalarımızı, uygulamalarımızı ve teknolojimizi gelecekteki saldırılara karşı korumak için güçlendirmeye” çalıştığını söyledi. .” O zamandan beri güncellenmiş bir uygulama müşterilere sunuldu.
Tehdit aktörlerinin 3CX’in ağına nasıl girmeyi başardıkları ve bunun bilinen veya bilinmeyen bir güvenlik açığını silahlandırmayı gerektirip gerektirmediği şu anda belirlenmedi. Tedarik zinciri ihlali, CVE-2023-29059 (CVSS puanı: 7.8) tanımlayıcısı altında izleniyor.