Geçen ayki 3CX tedarik zinciri saldırısıyla ilgili bir soruşturma, bunun, şüpheli Kuzey Koreli saldırganların, trojanlı yazılım yapılarını zorlamak için hisse senedi alım satım otomasyon şirketi Trading Technologies’in sitesini ihlal ettiği başka bir tedarik zinciri ihlalinden kaynaklandığını ortaya çıkardı.
Mandiant Consulting CTO’su Charles Carmakal, BleepingComputer’a “Henüz güvenliğinin ihlal edildiğini bilmeyen bazı kuruluşlar olduğundan şüpheleniyoruz” dedi.
“Bu bilgiyi bir kez aldığımızda, şirketlerin tehlikede olduklarını belirleme ve olaylarını kontrol altına alma sürecini hızlandırmaya yardımcı olacağını umuyoruz.”
Trading Technologies’in X_TRADER yazılımının kötü amaçlı yükleyicisi, kabuk kodunu yürütmek, Chrome, Firefox veya Edge süreçlerine bir iletişim modülü enjekte etmek ve kendi kendini sonlandırmak için tasarlanmış çok aşamalı modüler arka kapı VEILEDSIGNAL’ı konuşlandırdı.
3CX’in olayı araştırmasına yardımcı olan siber güvenlik firması Mandiant’a göre, tehdit grubu (UNC4736 olarak izleniyor), 3CX’in ağında yatay olarak hareket etmek için toplanan kimlik bilgilerini kullandı ve sonunda hem Windows hem de macOS yapı ortamlarını ihlal etti.
Mandiant, “Windows yapı ortamında saldırgan, IKEEXT hizmeti için DLL ele geçirme işlemini gerçekleştirerek devam eden ve LocalSystem ayrıcalıklarıyla çalışan TAXHAUL başlatıcısını ve COLDCAT indiricisini konuşlandırdı” dedi.
“MacOS derleme sunucusu, kalıcılık mekanizması olarak LaunchDaemons kullanılarak POOLRAT arka kapısıyla ele geçirildi.”
Kötü amaçlı yazılım, tespit edilmesini zorlaştıran meşru Microsoft Windows ikili dosyaları aracılığıyla DLL yandan yükleme yoluyla kalıcılık sağladı.
Ayrıca başlatma sırasında otomatik olarak yüklenir ve saldırganların güvenliği ihlal edilmiş tüm cihazlara internet üzerinden uzaktan erişim sağlar.
AppleJeus Operasyonuna Bağlantılar
Mandiant, UNC4736’nın, AppleJeus Operasyonunun arkasındaki finansal motivasyona sahip Kuzey Koreli Lazarus Grubu ile ilgili olduğunu söylüyor [1, 2, 3]aynı zamanda Google’ın Tehdit Analizi Grubu (TAG) tarafından www.tradingtechnologies’in ele geçirilmesiyle ilişkilendirildi.[.] com web sitesi Mart 2022 tarihli bir raporda.
Siber güvenlik firması, altyapı örtüşmesine dayanarak, UNC4736’yı UNC3782 ve UNC4469 olarak izlenen iki APT43 şüpheli kötü amaçlı etkinlik kümesiyle de ilişkilendirdi.
Google Cloud’un Mandiant Baş Analisti Fred Plan, BleepingComputer’a “UNC4736’nın, TAG blogunda bahsedilen aynı güvenliği ihlal edilmiş site aracılığıyla dağıtılan Trojanized X_TRADER uygulamasına dayalı olarak aynı Kuzey Koreli operatörlere bağlı olduğunu belirledik” dedi.
“Bu, TTP’lerdeki benzerlikler ve diğer altyapıdaki örtüşmelerle birleştiğinde, bu operatörlerin birbirine bağlı olduğuna dair bize orta düzeyde bir güven veriyor.”
3CX tedarik zinciri saldırısı
29 Mart’ta 3CX, Electron tabanlı masaüstü istemcisi 3CXDesktopApp’in bir tedarik zinciri saldırısı haberinin ortaya çıkmasından bir gün sonra kötü amaçlı yazılım dağıtmak üzere ele geçirildiğini kabul etti.
CrowdStrike, ESET, Palo Alto Networks, SentinelOne ve SonicWall dahil olmak üzere birçok siber güvenlik şirketi tarafından yazılımının kötü niyetli olarak tanımlandığına dair müşteri bildirimlerine 3CX’in yanıt vermesi bir haftadan uzun sürdü.
Şirketin CEO’su Nick Galea da söz konusu saldırının, 3CX masaüstü istemcisi tarafından kullanılan bir ffmpeg ikili dosyasının ilk izinsiz giriş vektörü olabileceğini ifşa etmesinden sonra. Ancak, FFmpeg reddedildi Galea’nın iddiaları, yalnızca tehlikeye atılmamış kaynak kodunu sağladığını söylüyor.
3CX, müşterilerine Electron masaüstü istemcisini tüm Windows ve macOS cihazlarından kaldırmalarını (toplu kaldırma komut dosyası burada bulunabilir) ve hemen benzer özellikler sağlayan aşamalı web uygulamasına (PWA) geçmelerini tavsiye etti.
3CX’in açıklamasına yanıt olarak, güvenlik araştırmacılarından oluşan bir ekip yaratıldı şirketin müşterilerine, IP adreslerinin Mart 2023 tedarik zinciri saldırısından potansiyel olarak etkilenip etkilenmediğini belirlemede yardımcı olan web tabanlı bir araç.
Şirketin resmi web sitesine göre, 3CX Telefon Sisteminin günlük 12 milyondan fazla kullanıcısı var ve American Express, Coca-Cola, McDonald’s, Air France, IKEA gibi yüksek profilli kuruluşlar ve şirketler de dahil olmak üzere dünya çapında 600.000’den fazla işletme tarafından kullanılıyor. İngiltere’nin Ulusal Sağlık Servisi ve çok sayıda otomobil üreticisi.
Mandiant, “Tanımlanan yazılım tedarik zinciri uzlaşması, ek bir yazılım tedarik zinciri uzlaşmasına yol açtığının farkında olduğumuz ilk sorundur,” dedi.
“Bu, özellikle bir tehdit aktörü bu soruşturmada gösterildiği gibi izinsiz girişleri zincirleme yapabildiğinde, bu tür bir uzlaşmanın potansiyel erişimini gösteriyor.”