3CX’i hedef alan tedarik zinciri saldırısının arkasındaki düşman, özellikle az sayıda kripto para şirketini seçerek ikinci aşama bir implant yerleştirdi.
adı altında çok yönlü arka kapıyı dahili olarak takip eden Rus siber güvenlik firması Kaspersky Gopuram 2020’den bu yana, Mart 2023’te 3CX ihlaliyle aynı zamana denk gelen enfeksiyon sayısında bir artış gözlemlediğini söyledi.
Gopuram’ın birincil işlevi, bir komuta ve kontrol (C2) sunucusuna bağlanmak ve saldırganların kurbanın dosya sistemiyle etkileşime girmesine, işlemler oluşturmasına ve sekiz adede kadar bellek içi modülü başlatmasına olanak tanıyan diğer talimatları beklemektir.
Arka kapının Kuzey Kore ile bağlantıları, 2020’de Güneydoğu Asya’da bulunan isimsiz bir kripto firmasına yapılan saldırıyı detaylandıran “Korece konuşan tehdit aktörü Lazarus’a atfedilen bir arka kapı olan AppleJeus ile kurban makinelerde bir arada var olmasından” kaynaklanıyor.
Kripto para şirketlerinin hedef alınması, Lazarus Group’un yaptırımlardan etkilenen ulus için yasadışı karlar elde etmek için finans endüstrisine tekrar tekrar odaklanması göz önüne alındığında, Lazarus Group’un katılımının bir başka açıklayıcı işaretidir.
Kaspersky ayrıca bir sunucuyla bir C2 çakışması tespit ettiğini söyledi (“wirexpro[.]com”), daha önce Aralık 2022’de Malwarebytes tarafından belgelenen bir AppleJeus kampanyasında kullanıldığı tanımlanmıştı.
Şirket, “Gopuram arka kapısı ondan daha az virüslü makineye yerleştirildiğinden, saldırganların Gopuram’ı cerrahi hassasiyetle kullandığını gösteriyor” dedi ve en yüksek enfeksiyon oranlarının Brezilya, Almanya, İtalya ve Fransa’da tespit edildiğini de sözlerine ekledi.
Şimdiye kadar keşfedilen saldırı zinciri, bir bilgi hırsızını (İKONİK Hırsız olarak bilinir) dağıtmak için hileli yükleyicilerin kullanılmasını gerektirse de, en son bulgular, kampanyanın nihai amacının, tam teşekküllü modüler arka kapı ile hedeflere bulaşmak olabileceğini gösteriyor.
Bununla birlikte, kampanyanın ne kadar başarılı olduğu ve hassas verilerin veya kripto para biriminin gerçekten çalınmasına yol açıp açmadığı bilinmiyor. Bununla birlikte, ICONIC Stealer’ın geniş bir ağ oluşturmak ve devam eden istismar için ilgili hedefleri belirlemek için bir keşif aracı olarak kullanıldığı olasılığını artırıyor.
Gelişme, BlackBerry’nin “bu operasyonun ilk aşamasının 2022 yazının sonu ile sonbaharın başı arasında bir yerde gerçekleştiğini” açıklamasıyla geldi.
Kanadalı şirkete göre saldırı girişimlerinin çoğu Avustralya, ABD ve Birleşik Krallık’ta kaydedildi ve sağlık, ilaç, bilişim ve finans en çok hedeflenen sektörler olarak ortaya çıktı.
Tehdit aktörünün 3CX ağına ilk erişimi nasıl elde ettiği ve bunun bilinen veya bilinmeyen bir güvenlik açığından yararlanmayı gerektirip gerektirmediği şu anda net değil. Güvenlik açığı, CVE-2023-29059 tanımlayıcısı altında izleniyor.
Bir Olay Müdahale Uzmanı Olun!
Kurşun geçirmez olay müdahalesinin sırlarını ortaya çıkarın – Cynet’in IR Lideri Asaf Perlman ile 6 Aşamalı süreçte ustalaşın!
Fırsatı Kaçırmayın – Koltuğunuzu Kaydedin!
Bugüne kadar toplanan kanıtlar, saldırganların 3CX’in geliştirme ortamını zehirlediğini ve SolarWinds veya Kaseya benzeri bir tedarik zinciri saldırısında meşru uygulamanın truva atına dönüştürülmüş sürümlerini şirketin alt müşterilerine teslim ettiğini gösteriyor.
Bilgi hırsızını ele geçirmekten sorumlu olan kötü amaçlı bileşenlerden biri olan “d3dcompiler_47.dll” adlı bir kitaplığın, Microsoft’u geçersiz kılmadan şifreli kabuk kodunu dahil etmek için 10 yıllık bir Windows kusurunu (CVE-2013-3900) silah haline getirdiği tespit edildi. -verilen imza
Burada kayda değer bir nokta, aynı tekniğin Ocak 2022’de İsrailli siber güvenlik firması Check Point Research tarafından ortaya çıkarılan bir ZLoader kötü amaçlı yazılım kampanyası tarafından benimsenmiş olmasıdır.
Masaüstü uygulamasının birden çok sürümü (Windows için 18.12.407 ve 18.12.416 ve macOS için 18.11.1213, 18.12.402, 18.12.407 ve 18.12.416) etkilendi. 3CX, o zamandan beri saldırıyı “son derece deneyimli ve bilgili bir bilgisayar korsanına” bağladı.
CrowdStrike, olayı, Lazarus Group içindeki bir alt küme olan Labyrinth Chollima takma adı altında izlediği Kuzey Kore bağlantılı bir ulus devlet grubuna bağladı.