Mandiant, 3CX’e yönelik tedarik zinciri saldırısının arkasındaki tehdit aktörünün, olay müdahale firması tarafından UNC4736 olarak tanımlanan Kuzey Kore bağlantılı bir düşman olduğuna yüksek derecede güven duyuyor. 3CX CISO Pierre Jourdan Salı günü bir blog gönderisinde söyledi.
Jourdan, oyuncunun 3CX sistemlerini, standart Windows kurulumlarına uyum sağlayacak şekilde tasarlanmış bir şekilde kabuk kodunu çözen ve yürüten, TxRLoader olarak da bilinen Taxhaul adlı Windows tabanlı bir kötü amaçlı yazılımla hedef aldığını söyledi.
İlişkilendirme, 3CX kurtarma modundayken, ürün güvenliğini desteklerken ve müşterileri elde tutmak için planlar yaparken gelir.
Şirket, şirketlerin çevrimiçi arama yapmasına, mesaj göndermesine ve video konferans yapmasına olanak tanıyan yaygın olarak kullanılan iletişim uygulamaları sağlar. Firma, dünya çapında 600.000’den fazla ticari müşteriye ve günlük 12 milyon aktif kullanıcıya sahip olduğunu söylüyor.
3CX, güvenlik odaklı iletişim uygulamasının yeni bir sürümünü planlıyor. CEO Nick Galea Salı günü söyledi.
Şirket, müşterilerini mümkün olan her durumda bir PWA Web uygulaması yüklemeye teşvik etmeye devam ediyor. Çeviricide bir meşgul lambası alan paneli içerecektir.
Yükseltilmiş sürümde tüm web şifreleri karma olacaktır. Web istemcisi parolası ve yapılandırma dosyası artık karşılama e-postasına dahil edilmeyecektir.
Güvenlik yükseltmelerinin ötesinde 3CX yetkilileri, ürün satıcılarına teşvikler sunarak kaybedilen satış ivmesini yeniden kazanmak için çalışıyor. Pazartesi günü şirket açıkladı 2023 satışlarında %15 nakit geri ödeme sunacak, iş ortağı gelir kotalarını düşürecek ve ücretli aboneliklerin sona erme tarihlerini uzatacaktır.
infazın arkasında
Kalıcılık elde etmek için DLL yandan yüklemeyi kullanan tehdit aktörü, kötü amaçlı yazılımı yasal Windows ikili dosyaları bağlamında çalıştırdı ve tespit edilmesini zorlaştırdı. Jourdan, sistem başlatılırken yüklenen kötü amaçlı yazılımın aktörün virüslü sisteme uzaktan erişimi sürdürmesine izin verdiğini söyledi.
Kabuk kodunun şifresini çözüp yükledikten sonra araştırma, Mandiant’ın Coldcat adını verdiği karmaşık bir indirici belirledi. Ancak bu, arka kapı ile aynı şey değildir. Kasperky kısa süre önce Gopuram olarak tanımlandı 3CX saldırısıyla ilişkili.
Bloga göre Mandiant ayrıca, araştırmacıların bilinen kötü amaçlı yazılım ailelerine bağlantılar olup olmadığını belirlemek için araştırdıkları SimpleSea adlı bir macOS arka kapısı da buldu.
Mandiant bulguları onaylıyor gibi görünüyor CrowdStrike’tan önceki uyarılar Mart ayında, saldırıyı 2009 yılına dayanan Kore Demokratik Halk Cumhuriyeti ile bağları olan Labyrinth Chollima adlı bir tehdit aktörüne bağladıklarında.
Bir sözcüye göre Mandiant yetkilileri, saldırıyla ilgili soruşturma devam ederken bulgular hakkında yorum yapmaktan kaçındı.