SentinelOne saldırıyı “Sorunsuz Operatör” olarak adlandırırken CrowdStrike, LABYRINTH CHOLLIMA olarak bilinen bir Kuzey Kore hükümet-devlet aktörünün olaya karıştığından şüpheleniyor.
CrowdStrike ve SentinelOne siber güvenlik araştırmacıları, tek, meşru bir ikili, 3CX İnternet Üzerinden Ses Protokolü (VOIP) masaüstü Uygulamasından (3CX Masaüstü Uygulaması) kötü amaçlı etkinlikte olağandışı bir artış tespit etti.
Kampanya Ayrıntıları
29 Mart 2023’te CrowdStrike araştırmacıları, saldırgan tarafından işletilen altyapıya işaret gönderme, ikinci aşama yükleri dağıtma ve bazı durumlarda uygulamalı klavye etkinliği dahil olmak üzere kötü amaçlı etkinlik gözlemledi.
Uygulama Windows, macOS ve Linux için mevcut olduğundan, etkinlik Mac ve Windows sistemlerinde gözlemlendi. Android ve iOS cihazlar için mobil sürümler de mevcuttur. Tarayıcılar için uygulama, Chrome için bir uzantı olarak mevcuttur ve Progressive Web uygulaması için tarayıcı tabanlı bir sürüm mevcuttur.
Araştırmacılar, Kuzey Kore hükümet-devlet aktörü LABYRINTH CHOLLIMA’nın işin içinde olduğundan şüpheleniyorlar. CrowdStrike Intelligence, dün sabah müşterilerine bir uyarı gönderdi. Öte yandan SentinelOne, 22 Mart 2023’te 3CX Masaüstü Uygulaması davranışında bir artış görmeye başladı.
SentinelOne’ın saldırıyı “Smooth Operator” olarak adlandırdığını belirtmekte fayda var. Şirket, müşterileri önleme politikalarının uygun şekilde yapılandırılmasını ve korunmaya devam etmek için Şüpheli Süreçlerin etkinleştirilmesini sağlamaya teşvik ediyor.
Çok Aşamalı Saldırı Senaryosu
Bu çok aşamalı saldırıda, kötü amaçlı 3CX Masaüstü Uygulaması yükleyicisi, kabuk kodunu yığın alanından yürüten ve başlangıçta “MZ”yi kaldırdıktan sonra bir DLL yükleyen bir kabuk kodu yükleyicisi olarak hizmet eder.
Bu DLL daha sonra DllGetClassObject dışa aktarımı aracılığıyla çağrılır. Bu aşamada, simge dosyaları belirli bir GitHub deposundan indirilir: (github.com/IconStorages/images).
Bu ICO dosyaları, sonunda Base64 verilerini ekler, daha sonra kodu çözülür ve son aşamayı indirmek için kullanılır. Bu aşamada, sistem ve tarayıcı verilerini toplamayı içeren bilgi hırsızı işlevi uygulanır. Chrome, Brave, Edge ve Firefox tarayıcılarından veri toplayabilir ve toplanan veriler arasında Chrome’dan tarama geçmişi ve Firefox’tan Yerler sekmesi verileri bulunur.
3CXDesktopApp nedir
Bilginiz olsun, 3CX Masaüstü Uygulaması, Özel Otomatik Şube Santrali (PABX) platformu olarak nitelendirilen, yaygın olarak kullanılan bir sesli ve görüntülü konferans ve çağrı yönlendirme yazılımıdır.
Platform, dünya çapında 600.000 şirket tarafından kullanılıyor ve 12 milyondan fazla aktif kullanıcıya sahip. Otomobil, imalat, konaklama, yiyecek ve içecek ve MSP (yönetilen bilgi teknolojisi sağlayıcısı) sektörlerindeki şirketler yaygın olarak kullanır.
PBX yazılımının tedarik zinciri saldırılarını başlatmak için çekici bir hedef olduğunu belirtmekte fayda var, çünkü bunlar saldırganların kuruluşların iletişimlerini izlemesine ve arama yönlendirmesini değiştirmesine ve harici ses hizmetlerine yönelik komisyoncu bağlantılarına izin verir.
GÜNCELLEME:
Sonraki bir güncellemede 3CX, sorunun git aracılığıyla Windows Electron uygulamasında derlenen bir kitaplıktan kaynaklandığını ve şirketin şu anda konuyla ilgili daha fazla araştırma yürüttüğünü belirtti.
Alakalı haberler
- PyPI Paketleri, Yeni Tedarik Zinciri Saldırısında Kötü Amaçlı Yazılım Bırakıyor
- News Corp’un yazılım tedarik zinciri saldırısı ve siber güvenlik
- SolarWinds tedarik zinciri saldırısı 250 kuruluşu etkiledi
- Erişim: 7 Tedarik Zinciri Kusuru ATM’leri ve IoT cihazlarını Etkiliyor