Şirketin müşterilerine bilgi çalma yazılımı dağıtmak için yakın zamanda 3CX’in VoIP masaüstü uygulamasını tehlikeye atan Lazarus Group olduğuna inanılan tehdit aktörü, ayrıca az sayıda kişiye ait sistemlere ikinci aşama bir arka kapı açtı.
“Gopuram” adı verilen arka kapı, tehdit aktörlerinin verileri sızdırmak için kullanabileceği çok sayıda modül içerir; ek kötü amaçlı yazılım yükleyin; hizmetleri başlatma, durdurma ve silme; ve kurban sistemlerle doğrudan etkileşime geçin. Kaspersky araştırmacıları, 3CX DesktopApp’ın tehlikeye atılmış sürümlerini çalıştıran bir avuç sistemde kötü amaçlı yazılımı tespit etti.
Bu arada, bazı güvenlik araştırmacıları artık analizlerinin tehdit aktörlerinin 10 yıllık bir Windows güvenlik açığından (CVE-2013-3900) yararlanmış olabileceğini gösterdiğini söylüyor.
Gopuram: Lazarus’la Bağlantılı Bilinen Arka Kapı
Kaspersky, Gopuram’ı Güneydoğu Asya’daki bir kripto para şirketine ait bir sistemde kurulu bulduğu en az 2020’den beri takip ettiği bir arka kapı olarak tanımladı. O sırada araştırmacılar, arka kapıyı, Kuzey Kore’nin üretken Lazarus Grubuna atfedilen AppleJeus adlı başka bir arka kapının yanı sıra bir sistemde yüklü buldular.
3 Nisan tarihli bir blog gönderisinde Kaspersky, 3CX’e yapılan saldırının da büyük olasılıkla aynı ekibin işi olduğu sonucuna vardı. Kaspersky, “Yeni Gopuram virüslerinin keşfi, 3CX kampanyasını orta ile yüksek arası bir güvenle Lazarus tehdit aktörüne atfetmemizi sağladı.” dedi.
Kaspersky araştırmacısı Georgy Kucherin, arka kapının amacının siber casusluk yapmak olduğunu söylüyor. “Gopuram, saldırganlar tarafından hedef organizasyonları gözetlemek için atılan ikinci aşama bir yüktür” diyor.
Kaspersky’nin ikinci aşama kötü amaçlı yazılım keşfi, Windows, macOS ve Linux sistemleri için bir video konferans, PBX ve iş iletişimi uygulaması sağlayıcısı olan 3CX’e yönelik saldırıya yeni bir kırışıklık ekliyor. Şirket, günlük 12 milyondan fazla kullanıcısı olan dünya çapında yaklaşık 600.000 kuruluşun şu anda 3CX Masaüstü Uygulamasını kullandığını iddia etti.
Büyük Bir Tedarik Zinciri Uzlaşması
30 Mart’ta 3CX CEO’su Nick Galea ve CISO Pierre Jourdan, saldırganların kötü amaçlı yazılım dağıtmak için yazılımın belirli Windows ve macOS sürümlerini ele geçirdiğini doğruladı. Açıklama, birkaç güvenlik satıcısının 3CX DesktopApp ikili dosyasının yasal, imzalı güncellemeleriyle ilişkili şüpheli etkinlik gözlemlediğini bildirmesinin ardından geldi.
Araştırmaları, artık Lazarus Group olarak tanımlanan bir tehdit aktörünün, uygulamanın kurulum paketindeki iki dinamik bağlantı kitaplığının (DLL) güvenliğini ihlal ettiğini ve onlara kötü amaçlı kod eklediğini gösterdi. Silah haline getirilmiş uygulamalar, 3CX’ten otomatik güncellemeler ve ayrıca manuel güncellemeler yoluyla kullanıcı sistemlerinde sona erdi.
Bir sisteme girdikten sonra, imzalı 3CX DesktopApp, kötü amaçlı yükleyiciyi yürütür ve ardından, güvenliği ihlal edilmiş sisteme bilgi çalan bir kötü amaçlı yazılımın yüklenmesiyle sonuçlanan bir dizi adımı başlatır. Birden çok güvenlik araştırmacısı, yalnızca 3CX’in geliştirme veya oluşturma ortamına yüksek düzeyde erişimi olan bir saldırganın DLL’lere kötü amaçlı kod ekleyebileceğini ve fark edilmeden kurtulabileceğini belirtmiştir.
3CX, olayı araştırması için Mandiant’ı tuttu ve tüm ayrıntılara sahip olduktan sonra tam olarak ne olduğuna dair daha fazla ayrıntı yayınlayacağını söyledi.
Saldırganlar 10 Yıllık Bir Windows Kusurundan Yararlandı
Görünüşe göre Lazarus Group, imzayı geçersiz kılmadan bir Microsoft DLL dosyasına kötü amaçlı kod eklemek için 10 yıllık bir hata kullandı.
Microsoft, 2103 güvenlik açığı açıklamasında, kusuru, saldırganlara imzayı geçersiz kılmadan imzalanmış bir yürütülebilir dosyaya kötü amaçlı kod ekleme yolu vermek olarak tanımlamıştı. Şirketin soruna yönelik güncellemesi, Windows Authenticode ile imzalanan ikili dosyaların doğrulanma şeklini değiştirdi. Temel olarak güncelleme, biri zaten imzalanmış bir ikili dosyada değişiklik yaparsa, Windows’un artık ikili dosyayı imzalı olarak tanımamasını sağladı.
Microsoft, o zamanlar güncellemeyi duyururken, güncellemeyi isteğe bağlı bir güncelleme haline getirdi; bu, kullanıcıların, yükleyicilerde özel değişiklikler yapmış olabilecekleri durumlarda sorunlara neden olan daha katı imza doğrulamasıyla ilgili endişeleri varsa, güncellemeyi uygulamak zorunda olmadıkları anlamına geliyor.
Trend Micro’nun tehdit istihbaratından sorumlu başkan yardımcısı Jon Clay, “Microsoft bir süre bu yamayı resmileştirme konusunda isteksizdi,” diyor. “Bu güvenlik açığının kötüye kullanıldığı şey, özünde, dosyanın sonundaki karalama defteri alanıdır. Bunu, bazı İnternet tarayıcıları gibi birçok uygulamanın kullanmasına izin verilen bir çerez bayrağı gibi düşünün.”
Symantec’in Tehdit Avcısı ekibinde kıdemli istihbarat analisti olan Brigid O’Gorman, şirket araştırmacılarının 3CX saldırganlarının imzalı bir Microsoft DLL dosyasının sonuna veri eklediğini gördüklerini söylüyor. O’Gorman, “Dosyaya eklenen şeyin, onu kötü amaçlı koda dönüştürmek için başka bir şeye ihtiyaç duyan şifrelenmiş veriler olduğunu belirtmekte fayda var” diyor. Bu durumda, 3CX uygulaması, dosyanın sonuna eklenen verileri okuyan ve ardından harici bir komut ve kontrol (C2) sunucusunu çağıran koda şifresini çözen ffmpeg.dll dosyasını yandan yükler.
O’Gorman, “Şu anda kuruluşlar için en iyi tavsiyenin Microsoft’un CVE-2013-3900 yamasını uygulamak olduğunu düşünüyorum,” diyor O’Gorman.
Bilhassa, Microsoft güvenlik açığı için bir güncelleştirme yayınladığında yama yapmış olabilecek kuruluşların, Windows 11’e sahiplerse bunu tekrar yapmaları gerekecek. Kucherin ve diğer araştırmacılar, bunun nedeninin, daha yeni işletim sisteminin yamanın etkisini ortadan kaldırması olduğunu söylüyor.
Clay, “CVE-2013-3900, ikinci aşama DLL tarafından yalnızca geçerlilik için dijital imzayı kontrol eden güvenlik uygulamalarından gizlenmek amacıyla kullanıldı” diyor. Yama uygulama, güvenlik ürünlerinin dosyayı analiz için işaretlemesine yardımcı olur, diye belirtiyor.
Microsoft, CVE-2013-3900’ü isteğe bağlı bir güncelleme yapma kararıyla ilgili bilgi için bir Karanlık Okuma talebine hemen yanıt vermedi; azaltmalar; veya Windows 11’i yüklemenin yamanın etkilerini geri alıp almadığı.