Google’ın Mandiant güvenlik şirketi tarafından hazırlanan bir rapor, Kuzey Koreli bir bilgisayar korsanlığı ekibinin, 3CX tarafından yapılan bir yazılım telefonuna yönelik bir tedarik zinciri saldırısının en olası kaynağı olduğunu belirtiyor.
Saldırı, Mart ayı sonlarında SentinelOne ve CrowdStrike tarafından yapılan güvenlik taramalarının yazılımı engellemesiyle ortaya çıktı.
O sırada SentinelOne, “truva atı haline getirilmiş 3CXDesktopApp’ın, GitHub’dan base64 verileriyle eklenen ICO dosyalarını çeken çok aşamalı bir saldırı zincirinin ilk aşaması olduğunu ve sonuçta üçüncü aşama bir bilgi hırsızı DLL dosyasının yazıldığı sırada hala analiz edilmesine yol açtığını” söyledi. ”.
3CX, kullanıcıları masaüstü sürümünü kaldırmaları ve bir Web sürümüne geçmeleri konusunda uyardı ve ne olduğunu öğrenmesi için Mandiant’ı görevlendirdi.
CEO Nick Galea şimdi Mandiant’ın çalışmalarının ilk sonuçlarını detaylandırdı.
Galea’ya göre Mandiant, saldırıyı “UNC4736 adlı bir kümeye” bağladı.
“Mandiant, UNC4736’nın bir Kuzey Kore bağlantı noktasına sahip olduğunu büyük bir güvenle değerlendiriyor.”
Galea, Windows sistemlerinin TAXHAUL adlı bir yükleyiciyle saldırıya uğradığını, MacOS saldırılarının ise Mandiant’ın hâlâ analiz etmekte olduğu SIMPLESEA adlı bir arka kapı kullandığını söyledi.
Windows saldırıları, kötü amaçlı yazılımın kullandığı azureonlinecloud dahil olmak üzere DLL yandan yükleme ve komut ve kontrol etki alanları aracılığıyla kalıcılık sağladı.[.]com, akamaicontainer[.]com, gazetecilik[.]org ve msboxonline[.]com.
Ayrı bir gönderide Galea, 3CX yazılımının yalnızca güvenlik amaçlı bir güncellemesinin de sözünü verdi.
Güncellemenin bir QA sürümünün bu hafta beklendiğini, alfa ve beta sürümlerinin genel kullanılabilirlikten önce gelecek hafta yayınlanacağını söyledi.
Güncellemenin güvenlik özellikleri, yönetici erişimini kaldırmak için tüm web oturum açma şifrelerinin karma hale getirilmesini içerecektir; karşılama e-postasından şifreler dahil olmak üzere güvenlik bilgilerinin kaldırılması; ve web yönetici erişimi IP adresine göre kısıtlanacaktır.
Masaüstü istemcisinde bir güncelleme olacak olsa da 3CX, kullanıcılarına web uygulamasını tercih etmelerini önermektedir.