Güvenlik araştırmacıları, bu sefer yaygın olarak kullanılan bir video konferansın, PBX’in ve 3CX’in iş iletişimi uygulamasının Windows ve Mac sürümlerini içeren bir başka büyük SolarWinds veya Kaseya benzeri tedarik zinciri saldırısı olabileceği konusunda alarm veriyorlar.
30 Mart’ta çok sayıda güvenlik satıcısı, 3CX DesktopApp’ın kötü niyetli yükleyicilerle birlikte gelen meşru, dijital olarak imzalanmış sürümlerinin, şirketin resmi otomatik güncelleme süreci ve manuel güncellemeler yoluyla kullanıcı masaüstlerine indiğini gözlemlediklerini söyledi. Sonuç, gelişmiş bir kalıcı tehdit (APT) aktörü tarafından olası bir siber casusluk çabasının bir parçası olarak yerleştirilen veri çalan bir kötü amaçlı yazılımdır.
Yeni tehdidin potansiyel etkisi çok büyük olabilir. 3CX, günlük 12 milyondan fazla kullanıcıyla dünya çapında yaklaşık 600.000 kurulum talep ediyor. Çok sayıda ünlü müşterisi arasında American Express, Avis, Coca Cola, Honda, McDonald’s, Pepsi ve Toyota gibi şirketler var.
CrowdStrike, kampanyanın arkasındaki tehdit aktörünün, birçok araştırmacının Kuzey Kore istihbarat teşkilatı Reconnaissance General Bureau’nun (RGB) siber savaş birimiyle bağlantılı olduğuna inandığı bir grup olan Labyrinth Chollima olduğunu değerlendirdi. Labyrinth Chollima, CrowdStrike’ın Kuzey Kore’nin daha büyük Lazarus Grubu’nun bir parçası olduğunu değerlendirdiği dört gruptan biri.
Tehdit hala çok aktif. Huntress’in kıdemli güvenlik araştırmacısı John Hammond, “Şu anda, halka açık 3CX web sitesinde bulunan en son yükleyiciler ve güncellemeler, çok sayıda güvenlik firması tarafından kötü olarak bilinen, güvenliği ihlal edilmiş ve arka kapılı uygulamalar olmaya devam ediyor” diyor.
Kötü Amaçlı Yükleyicilerle Truva Atı Alan Kurumsal Uygulama
Silah haline getirilmiş uygulama, 3CX Masaüstü Uygulaması otomatik olarak güncellendiğinde veya bir kullanıcı proaktif olarak en son sürümü aldığında bir ana sisteme ulaşır. İmzalı 3CX DesktopApp, bir sisteme gönderildiğinde, kötü amaçlı bir yükleyici yürütür ve ardından saldırganın kontrolündeki bir sunucuya işaret eder, buradan ikinci aşama, bilgi çalan bir kötü amaçlı yazılımı indirir ve kullanıcının bilgisayarına yükler. 29 Mart’ta tehdidi ilk bildirenlerden biri olan CrowdStrike, birkaç örnekte Trojanized 3CX uygulamasına sahip sistemlerde kötü niyetli uygulamalı klavye etkinliği gözlemlediğini söyledi.
30 Mart’ın başlarında bir mesajda 3CX CEO’su Nick Galea, kullanıcıları uygulamayı hemen kaldırmaya çağırdı ve Microsoft Windows Defender’ın yazılımı çalıştıran kullanıcılar için bunu otomatik olarak yapacağını ekledi. Galea, uygulamanın işlevselliğini isteyen müşterileri, şirket bir güncelleme sunmaya çalışırken teknolojinin Web istemcisi sürümünü kullanmaya çağırdı.
3CX CISO Pierre Jourdan’dan gelen bir güvenlik uyarısı, etkilenen uygulamaların Güncelleme 7’de gönderilen Electron Windows Uygulaması, sürüm numaraları 18.12.407 ve 18.12.416 ve Electron Mac Uygulaması sürüm numaraları 18.11.1213, 18.12.402, 18.12.407 ve & olduğunu belirledi. 18.12.416. Jourdan, “Sorun, GIT aracılığıyla Windows Electron Uygulamasında derlediğimiz kitaplıklardan biri gibi görünüyor,” dedi.
Saldırganlar Muhtemelen 3CX’in Üretim Ortamını İhlal Etti
Ne Jourdan ne de Galea’nın mesajları, saldırganın imzalı bir 3CXDekstopApp.exe ikili dosyasını truva atı olarak kullanmak için ihtiyaç duydukları erişimi nasıl elde etmeyi başardığına dair herhangi bir bilgi vermedi. Ancak tehdidi analiz eden en az iki güvenlik satıcısı, bunun yalnızca saldırganların 3CX’in geliştirme veya oluşturma ortamında olması durumunda gerçekleşebileceğini söylüyor – SolarWinds’in ele geçirildiği şekilde.
Check Tehdit İstihbaratı ve Araştırma Direktörü Lotem Finkelstein, “Adli tıpta şimdiye kadar olanların tam resmine yalnızca 3CX sahip olsa da, tehdit aktörünün 3CX üretim hattına erişimi olduğunu büyük bir güvenle değerlendiriyoruz” diyor. Nokta Yazılımı. “Dosyalar, önceki zararsız sürümlerde kullanılanla aynı olan 3CX sertifikalarıyla imzalanmıştır. Kod, normalde olması gerektiği gibi çalışmaya devam edecek ama aynı zamanda bazı kötü amaçlı yazılımlar ekleyecek şekilde oluşturulmuştur.”
Finkelstein, Check Point’in araştırmasının, 3CX DesktopApp’ın Trojanlaştırılmış sürümünün manuel indirme veya resmi sistemden düzenli güncellemeler yoluyla teslim edildiğini doğruladığını söylüyor.
Symantec Threat Hunter ekibinde baş akıllı analist olan Dick O’Brien, tehdit aktörünün ana yürütülebilir dosyaya dokunmamış gibi göründüğünü söylüyor. Bunun yerine APT, yükleyicideki yürütülebilir dosyayla birlikte teslim edilen iki dinamik bağlantı kitaplığının (DLL) güvenliğini ihlal etti.
O’Brien, “Bir DLL, aynı ada sahip tamamen farklı bir dosyayla değiştirildi” diyor. “İkincisi, meşru DLL dosyasının Trojanlaştırılmış bir versiyonuydu. [with] Saldırganlar, esasen onu ek şifrelenmiş verilerle ekliyor.” Saldırganlar, meşru 3CX ikili dosyasını kötü amaçlı DLL’yi yüklemek ve yürütmek üzere kandırmak için DLL yandan yükleme olarak bilinen bir teknik kullandılar, diyor.
O’Brien, saldırganın hack’i gerçekleştirmek için 3CX’in üretim ortamına erişmesi gerektiğini kabul ediyor. “Bunu nasıl yaptıkları hâlâ bilinmiyor. Ancak yapı ortamına eriştiklerinde tek yapmaları gereken yapı dizinine iki DLL bırakmaktı.”
Potansiyel Olarak Geniş Etki
Huntress’te tehdidi izleyen araştırmacılar, şimdiye kadar müşterilere 3CX masaüstü uygulamasının savunmasız sürümlerini çalıştıran ana bilgisayarlar konusunda onları uyaran toplam 2.595 olay raporu gönderdiklerini söyledi. Bu durumlarda yazılım, bilinen kötü uygulamalardan biri için hash veya tanımlayıcıyla eşleşti.
Huntress’ten Hammond, “Bildiğimiz şekliyle saldırı zincirinin son aşaması, komuta ve kontrol sunucularına ulaşıyor, ancak bu, yedi gün sonra ayarlanmış bir zamanlayıcıda görünüyor,” diyor. Huntress’in yürüttüğü bir Shodan araması, 242.519 halka açık 3CX sistemini gösterdi, ancak sorunun etkisi yalnızca bu hedef dizisinden daha geniş.
“İmzalı 3CX Masaüstü Uygulaması tarafından alınan güncellemeler meşru 3CX güncelleme kaynağından geliyor, bu nedenle ilk bakışta bu normal görünüyor” diye ekliyor. “Birçok son kullanıcı, orijinal ve geçerli 3CX uygulamasının aniden antivirüs veya güvenlik ürünlerinden alarm zillerini çalmasını beklemiyordu ve ilk zaman çizelgesinde çok fazla bilgi açığa çıkarılmamıştı ve etkinliğin olup olmadığı konusunda bazı kafa karışıklıkları vardı. kötü niyetli ya da değil, diyor.
SolarWinds ve Kaseya’nın Gölgeleri
Hammond, bu olayı SolarWinds ve Kaseya’daki ihlallerle karşılaştırır.
SolarWinds ile saldırganlar – muhtemelen Rusya’nın Dış İstihbarat Servisi ile bağlantılı – şirketin yapı ortamına girdiler ve Orion ağ yönetimi yazılımına yönelik güncellemelere birkaç satırlık kötü amaçlı kod eklediler. Güncellemeleri yaklaşık 18.000 müşteri aldı, ancak tehdit aktörü, müteakip uzlaşma için gerçekte yalnızca küçük bir avuç müşteriyi hedefliyordu.
Kaseya’nın VSA uzaktan yönetim teknolojisine yapılan saldırı, yönetilen hizmet sağlayıcı müşterilerinin 1.000’den fazla alt müşterisinin etkilenmesine ve ardından fidye yazılımı dağıtımı için hedef alınmasına neden oldu. Bu iki saldırı, geniş bir kurban grubuna ulaşmak için güvenilir yazılım sağlayıcıları ve yazılım tedarik zincirindeki varlıkları hedef alan tehdit aktörlerinin büyüyen eğiliminin örnekleridir. Tehdide ilişkin endişeler, Başkan Biden’ı Mayıs 2021’de tedarik zinciri güvenliğini güçlendirmeye yönelik özel gereksinimleri içeren bir yürütme emri çıkarmaya sevk etti.