Symantec Tehdit Avcısı Ekibi Cuma günü yaptığı açıklamada, X_Trader’a yönelik yazılım tedarik zinciri saldırısının en az dört ek kurban kuruluş olduğunu iddia etti.
Başlangıçta Trading Technology tarafından geliştirilen güvenliği ihlal edilmiş yazılım, 3CX’te başka bir tedarik zinciri saldırısına neden oldu. Yeni tespit edilen kurbanlar arasında enerji sektöründeki iki kritik altyapı kuruluşu ve finansal ticaretle uğraşan iki kuruluş yer alıyor.
Symantec’in araştırması, Mandiant ve 3CX’in Perşembe günü 3CX ve onun yapı ortamının tehlikeye girmesine yönelik bir soruşturmanın ardından yayınladığı bilgileri temel aldı.
Symantec Threat Hunter Team baş istihbarat analisti Dick O’Brien, “X_Trader uzlaşması hakkında yayınlanan bilgiler, daha fazla saldırı ve ek uzlaşma göstergeleri belirlememizi sağladı” dedi.
3CX’e izinsiz giriş, bir 3CX çalışanının bilgisayarlarına kötü amaçlı yazılım bulaşmış X_Trader yazılımını indirmek için kimlik bilgilerini kullandığında meydana geldi. Mandiant Consulting CTO’su Charles Carmakal Çarşamba günü bir basın brifinginde, bu arka kapının tehdit aktörünün 3CX yapı ortamına kötü amaçlı koda erişmesine ve bu koda eklemesine izin verdiğini söyledi.
Mandiant, X_Trader tedarik zinciri saldırısından başka kurbanların olma olasılığının yüksek olduğu konusunda uyardı. Trading Technologies’in finansal ticaret yazılımının güvenliği ihlal edildi ve 2022’nin başlarında tam özellikli bir arka kapı olan VeiledSignal kötü amaçlı yazılımı bulaştı.
Yazılım 2020’de kullanımdan kaldırıldı, ancak 2022’ye kadar indirilebilir durumda kaldı. Artık mevcut değil.
Dünya çapında 600.000’den fazla ticari müşteriye sahip olan X_Trader ve 3CX’in güvenliği, Mandiant’ın UNC4736 olarak tanımladığı Kuzey Kore bağlantılı bir düşman tarafından ele geçirildi.
Tedarik zinciri saldırısını Kuzey Kore ile bağlantılı ve Lazarus ile bağlantılı üretken, gelişmiş ve kalıcı bir tehdit olan Labyrinth Chollima’ya bağlayan Crowdstrike, Mart ayı sonlarında 3CX masaüstü uygulamasında kötü amaçlı etkinlik keşfetti. 3CX, saldırıyı araştırması için hemen olay müdahale firması Mandiant’ı işe aldı.
O’Brien, başka bir yazılım tedarik zinciri saldırısının çok katmanlı saldırıyla bağlantılı olduğunu gösteren hiçbir bilgi olmadığını söyledi. “Şu anda herkes X_Trader tedarik zinciri saldırısının kurbanları gibi görünüyor.”