Bir birleşik iletişim teknolojisi tedarikçisi olan 3CX’in müşterileri, Kuzey Kore bağlantılı bir gelişmiş kalıcı tehdit (APT) aktörü tarafından, ürünlerinden birine yönelik güvenliği ihlal edilmiş bir güncelleme aracılığıyla yayılan bir tedarik zinciri saldırısında hedef alınıyor.
Gelişmekte olan olay, telemetrilerinde tespit edildikten sonra başlangıçta siber güvenlik şirketleri CrowdStrike ve Sophos tarafından bağımsız olarak işaretlendi.
CrowdStrike, yasal, imzalı bir ikili dosya olan 3CXDesktopApp yazılım telefonundan yayılan “beklenmedik kötü niyetli etkinlik” gözlemlediğini söyledi. Bu aktivite, aktör tarafından kontrol edilen altyapıya işaret göndermeyi, ikinci aşama yüklerin konuşlandırılmasını ve bazı durumlarda “uygulamalı” klavye etkinliğini içeriyordu. Bu aktiviteyi hem Windows hem de macOS sistemlerinde gördüğünü söyledi.
Bu arada Sophos, hesapları Windows ortamlarıyla sınırlı olsa da benzer faaliyetler bildirdi. Arkasındaki tehdit aktörlerinin kodlanmış kötü amaçlı yazılımlarını barındırmak için genel bir bulut depolama hizmeti kullandıklarına dair kanıtları olduğunu da sözlerine ekledi.
Sophos’ta yönetilen tehdit yanıtı başkan yardımcısı Mat Gangwer şunları söyledi: “Sophos, ilk olarak 3CXDesktopApp’a yönelik bir tedarik zinciri saldırısından kaynaklanan ve 29 Mart’ta rapor edilen etkinliği aradıktan sonra müşterilerimizi etkileyen kötü niyetli etkinliği belirledi.
Computer Weekly’ye e-postayla gönderilen yorumlarda “3CX, dünya çapında yaygın olarak kullanılan, meşru bir iş telefonu sistemidir” dedi. Saldırganlar, DLL kullanan bir yükleyici eklemek için uygulamayı manipüle etmeyi başardı. [Dynamic Link Library] sonuçta kötü amaçlı, kodlanmış bir yükü almak için yandan yükleme. Taktikler ve teknikler yeni değil, daha önce bildirdiğimiz DLL yandan yükleme etkinliğine benziyorlar. Satıcının paketine gömülü olan bu DLL yandan yükleme senaryosunun üç önemli bileşenini belirledik.”
Gangwer, “Bu durum ortaya çıktıkça sürekli güncellemeler sağlamaya devam edeceğiz” dedi. “Bu arada Sophos, aşağıdaki korumayı yayınlayarak kötü amaçlı etkinliği engelledi: Troj/Loader-AF, tehditle ilişkili bilinen C2 etki alanlarının listesini engelledi ve GitHub’ımızdaki IoC dosyasında bu listeye eklemeye devam edecek. . Ayrıca, kullanıcıların şirketten herhangi bir resmi iletişim için 3CX’in blogunu kontrol etmelerini tavsiye ediyoruz.”
CrowdStrike ayrıca saldırıyı, kötü şöhretli Lazarus APT ile bir miktar örtüşen Labyrinth Chollima olarak izlediği bir Kuzey Koreli grupla ilişkilendirebildiğini söyledi. Sophos bu yazıyı yazarken bir atıf yapmamıştı.
30 Mart Perşembe günü yayınlanan bir bildiride, 3CX baş bilgi güvenliği sorumlusu Pierre Jourdan, Electron Windows Uygulamasının 18.12.407 ve 18.12.416 sürüm numaralı 7 güncellemesinin antivirüs programlarını tetikleyen bir “güvenlik sorunu” içerdiğini doğruladı. Sorun, Git aracılığıyla Electron’da derlenen paket kitaplıklardan birinde görünüyor. Şu anda daha kapsamlı bir soruşturma yürütülüyor.
“Bu güvenliği ihlal edilmiş kitaplığın temas kurduğu etki alanları zaten rapor edildi ve çoğunluğu bir gecede kaldırıldı” dedi. “Onları listeleyen bir Github deposu da kapatıldı ve etkin bir şekilde zararsız hale getirildi.
“Bu, karmaşık bir tedarik zinciri saldırısı yürüten ve kötü amaçlı yazılımlarının sonraki aşamalarını kimin indireceğini seçen, belki de devlet destekli bir APT’den hedefli bir saldırı gibi görünüyor. Sistemlerin büyük çoğunluğu, dosyaları uykuda olmasına rağmen aslında hiçbir zaman virüs bulaşmamıştı.”
3CX şu anda Electron Windows Uygulamasının yeni bir sürümü üzerinde çalışıyor ve bunun için yeni sertifikalar yayınlayacak. Şimdilik, dedi Jourdan, müşteriler bunun yerine web tabanlı PWA hizmetini kullanmayı düşünebilirler.
Bu arada yaşananlardan dolayı çok özür dileriz ve bu hatayı telafi etmek için elimizden gelen her şeyi yapacağız” dedi.
2005 yılında Kıbrıs’ta bir IP PBX teknolojisi tedarikçisi olarak kurulan 3CX, yaklaşık 600.000 müşteride 12 milyondan fazla kullanıcıya sahiptir. Müşteri kadrosunda Air France, American Express, Carlsberg, Coca-Cola, Hilton, Honda, Ikea, PwC, Renault ve Toyota gibi çok uluslu şirketler yer alıyor, ancak şu anda hangi müşterilerin etkilenmiş olabileceği bilinmiyor ve yukarıdakilerden hiçbiri bunu yapmadı. olayla ilgili herhangi bir açıklama