3CX’i hedef alan kademeli tedarik zinciri saldırısının arkasındaki üretken Kuzey Koreli bilgisayar korsanlığı grubu Lazarus, aynı zamanda trojanlaştırılmış X_TRADER uygulamasını kullanarak enerji ve enerji sektöründeki iki kritik altyapı kuruluşuna ve finansal ticaretle uğraşan diğer iki işletmeye sızdı.
Symantec’in Tehdit Avcısı Ekibinin izniyle gelen yeni bulgular, X_TRADER uygulama gizliliğinin 3CX’ten daha fazla kuruluşu etkilediğine dair daha önceki şüpheleri doğruluyor. Örgütlerin isimleri açıklanmadı.
Broadcom’a ait Symantec’in güvenlik müdahalesi direktörü Eric Chien, The Hacker News’e yaptığı açıklamada saldırıların Eylül 2022 ile Kasım 2022 arasında gerçekleştiğini söyledi.
Chien, “Bu enfeksiyonların etkisi şu anda bilinmiyor – daha fazla araştırma gerekiyor ve devam ediyor,” dedi ve “bu hikayede muhtemelen daha fazla ve hatta muhtemelen truva atı olan başka paketler” olabileceğini de sözlerine ekledi.
Gelişme, Mandiant’ın geçen ay 3CX masaüstü uygulama yazılımının ele geçirilmesinin, bir çalışanın kişisel bilgisayarına indirdiği ve 2022’de X_TRADER’ı hedefleyen başka bir yazılım tedarik zinciri ihlaliyle kolaylaştırıldığını açıklamasının ardından geldi.
Kuzey Koreli bir bağlantı aktörü olan UNC4736’nın Trading Technologies adlı bir şirket tarafından geliştirilen bir ticaret yazılımı olan X_TRADER’ı nasıl kurcaladığı şu anda belirsiz. Hizmet, Nisan 2020’de kullanımdan kaldırılmış olsa da, daha geçen yıl şirketin web sitesinden indirilmeye devam ediyordu.
Mandiant’ın araştırması, bozuk X_TRADER uygulamasına enjekte edilen arka kapının (VEILEDSIGNAL olarak adlandırılan), saldırganın çalışanın bilgisayarına erişmesine ve kimlik bilgilerini sızdırmasına izin verdiğini ve bu bilgileri daha sonra 3CX’in ağını ihlal etmek, yanal hareket etmek ve Windows ve Windows’u tehlikeye atmak için kullandığını ortaya çıkardı. macOS, kötü amaçlı kod eklemek için ortamlar oluşturur.
Yayılan birbirine bağlı saldırı, tarihsel olarak kripto para birimi şirketlerini hedef alan ve finansal amaçlı saldırılar gerçekleştiren önceki Kuzey Kore bağlantılı gruplar ve kampanyalarla önemli ölçüde örtüşüyor gibi görünüyor.
Google Cloud yan kuruluşu, etkinliğin finansal hırsızlık için kripto şirketlerini hedefleyen kalıcı bir kampanya olan AppleJeus ile bağlantılı olduğunu “orta düzeyde güvenle” değerlendirdi. Siber güvenlik firması CrowdStrike daha önce saldırıyı Labyrinth Chollima adını verdiği bir Lazarus kümesine bağlamıştı.
Aynı hasım kolektif, daha önce Google’ın Tehdit Analizi Grubu (TAG) tarafından, Chrome web tarayıcısında o sırada sıfır günlük bir kusurdan yararlanan bir istismar kitine hizmet etmek üzere Şubat 2022’de Trading Technologies’in web sitesinin ele geçirilmesiyle ilişkilendirilmişti.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
ESET, farklı bir Lazarus Group kampanyasının analizinde, UNC4736 tarafından kullanıldığı belirlenen aynı ağ altyapısını paylaşan SimplexTea adlı yeni bir Linux tabanlı kötü amaçlı yazılımı ifşa etti ve 3CX saldırısının Kuzey Kore tehdidi tarafından düzenlendiğine dair mevcut kanıtları daha da genişletti. aktörler.
“[Mandiant’s] ESET kötü amaçlı yazılım araştırmacısı Marc-Etienne M.Léveillé The The’ye verdiği demeçte, 3CX’in ele geçirilmesinden sorumlu olan ikinci bir tedarik zinciri saldırısının bulunması, Lazarus’un hedeflerinin ağına ilk erişimi elde etmek için bu tekniğe giderek daha fazla kayıyor olabileceğinin bir ifşasıdır” dedi. Hacker Haberleri.
X_TRADER uygulamasının güvenliğinin aşılması, saldırganların mali amaçlarını daha da ima ediyor. Lazarus (GİZLİ KOBRA olarak da bilinir), Kuzey Kore merkezli, Hermit Krallığı adına hem casusluk hem de siber suç faaliyetlerinde bulunan ve uluslararası yaptırımlardan kaçan birkaç alt grubun birleşimini ifade eden şemsiye bir terimdir.
Symantec’in bulaşma zincirini kırması, aynı zamanda Chrome, Firefox veya Edge web tarayıcılarına eklenebilen bir işlem enjeksiyon modülünü de içeren VEILEDSIGNAL modüler arka kapının konuşlandırılmasını doğrular. Modül kendi adına, komut ve kontrol (C2) için Trading Technologies’in web sitesine bağlanan bir dinamik bağlantı kitaplığı (DLL) içerir.
Symantec sözlerini şöyle tamamladı: “3CX’in daha önceki başka bir tedarik zinciri saldırısı tarafından ihlal edildiğinin keşfedilmesi, daha fazla kuruluşun bu kampanyadan etkilenme olasılığının yüksek olmasını sağladı;