3CX tedarik zinciri taviz bulmacasının parçaları yerine oturmaya başlıyor, ancak hala tam resmi görmekten çok uzağız.
Bu arada, artık şunu da biliyoruz:
- 3CX ihlalinin kaynağı, Trading Technologies tarafından sağlanan vadeli işlem ticareti için eski bir yazılım paketi olan X_TRADER için tehlikeye atılmış bir yükleyiciydi.
- X_TRADER yazılımı için truva atına bulaştırılmış yükleyici, enerji sektöründeki iki kritik altyapı kuruluşunun ve finansal ticaretle uğraşan iki kuruluşun sistemlerine bir arka kapı bırakmak için de kullanıldı.
3CX tedarik zinciri tavizi
Daha önce bildirdiğimiz gibi, 3CX uygulamasının Windows ve Mac masaüstü sürümlerine kötü amaçlı yazılım enjekte edildi ve henüz bilinmeyen sayıda 3CX müşterisine bilgi çalan kötü amaçlı yazılım sağlamak için kullanıldı. Kaspersky’ye göre kurbanlardan bazıları kripto para şirketleri.
3CX, kendi uzlaşmalarının nasıl gerçekleştiğini araştırması için Mandiant’la anlaştı ve geçen Perşembe günü, 3CX çalışanlarından birinin sistemlerinde modüler bir arka kapının (VEILEDSIGNAL olarak adlandırılan) nihai olarak konuşlandırılmasına yol açan bubi tuzaklı X_TRADER yükleyicisini indirdiğini açıkladılar.
Yükleyici, Trading Technologies’e ait süresi dolmuş bir dijital sertifika ile imzalanmıştır ve tarihi Kasım 2021’e kadar uzanmaktadır.
“Saldırgan, saldırı sırasında 3CX organizasyonu içinde yanal olarak hareket etmek için halka açık Fast Reverse Proxy projesinin derlenmiş bir sürümünü kullandı. Mandiant, saldırganın kimlik bilgilerini toplarken ve yanal olarak hareket ederken ortamdaki adımlarını yeniden oluşturmayı başardı. Sonunda, saldırgan hem Windows hem de macOS derleme ortamlarının güvenliğini aşmayı başardı,” diye paylaştı şirketin müfettişleri.
Saldırgan, Windows yapı ortamında, IKEEXT hizmeti aracılığıyla DLL arama emri ele geçirme işlemini gerçekleştirerek devam eden ve LocalSystem ayrıcalıklarıyla çalışan bir TAXHAUL başlatıcısı ve COLDCAT indiricisi konuşlandırdı. Kalıcılık mekanizması olarak Launch Daemons kullanılarak POOLRAT arka kapısı ile macOS derleme sunucusunun güvenliği ihlal edildi.”
Ayrıca, hükümet destekli Kuzey Koreli bilgisayar korsanlarının ihlalin arkasında olduğuna dair ilk değerlendirmelerini doğrular gibi görünen uzlaşma belirtileri de buldular.
“Belirlenen yazılım tedarik zinciri uzlaşması, kademeli bir yazılım tedarik zinciri uzlaşmasına yol açtığının farkında olduğumuz ilk sorundur” diye eklediler. “Kademeli yazılım tedarik zinciri tavizleri, Kuzey Koreli operatörlerin kötü amaçlı yazılım geliştirmek ve dağıtmak için yaratıcı yollarla ağ erişiminden yararlanabileceğini ve Kuzey Kore’nin çıkarlarıyla uyumlu operasyonlar yürütürken hedef ağlar arasında hareket edebildiğini gösteriyor.”
ESET araştırmacıları, hemen hemen aynı anda, sahte iş teklifleri ve bir Linux arka kapısı ile Linux kullanıcılarını hedefleyen Lazarus APT hakkında bir rapor yayınladı ve kullanılan kötü amaçlı yazılım ile paylaşılan altyapı arasındaki benzerliklere dayanarak grubu 3CX tedarik zinciri saldırısına daha fazla bağladı.
“Bir tedarik zinciri saldırısının gizliliği, [distributing malware via compromised software] Bir saldırganın bakış açısından çok çekici. Lazarus bu tekniği geçmişte kullandı ve 2020’de WIZVERA VeraPort yazılımının Güney Koreli kullanıcılarını hedef aldı. Lazarus araç setindeki mevcut kötü amaçlı yazılımlarla ve grubun tipik teknikleriyle benzerlikler, son 3CX uzlaşmasının da Lazarus’un işi olduğunu kuvvetle gösteriyor.” not ettiler.
“Lazarus’un tüm büyük masaüstü işletim sistemleri için kötü amaçlı yazılım üretebileceğini ve kullanabileceğini belirtmek de ilginç: Windows, macOS ve Linux.”
Trading Technologies uzlaşmasının henüz bilinmeyen sonuçları
Ardından, Cuma günü, Symantec’in Tehdit Avcısı Ekibi, X_TRADER yazılım tedarik zinciri saldırısının ABD ve Birleşik Krallık’ta enerji sektöründeki iki kuruluşun yanı sıra finansal ticaretle uğraşan iki kuruluş dahil olmak üzere 3CX’ten daha fazla kuruluşu etkilediğini açıkladı. (Bu şirketlerdeki olası tavizlerin boyutu bilinmiyor.)
“X_Trader’ın geliştiricisi Trading Technologies, enerji vadeli işlemleri de dahil olmak üzere vadeli işlem ticaretini kolaylaştırdığından, X_Trader tedarik zinciri saldırısının finansal olarak motive edilmiş olması muhtemel görünüyor. Bununla birlikte, kritik altyapı hedeflerinin uzlaşması bir endişe kaynağıdır. Kuzey Kore destekli aktörlerin hem casusluk hem de mali amaçlı saldırılarda bulunduğu biliniyor ve bir mali kampanya sırasında ihlal edilen stratejik açıdan önemli kuruluşların daha fazla istismar için hedef alınması göz ardı edilemez.”
Trading Technologies, güvenlik muhabiri Kim Zetter’e, güvenliği ihlal edilmiş X_TRADER paketinin 1 Kasım 2021 ile 26 Temmuz 2022 arasında 97 kişi tarafından indirildiğini ve henüz açmamışlarsa yazılımı açmamaları konusunda bilgilendirildiklerini ve tavsiye edildiklerini söyledi. .
Bu kişilerden herhangi biri diğer yazılım şirketlerinde çalışıyorsa, ilgili tedarik zinciri saldırılarının keşfedilmesi çok olasıdır.