3CX’i hedef alan tedarik zinciri saldırısının arkasındaki düşman, özellikle az sayıda kripto para şirketini seçerek ikinci aşama bir implant yerleştirdi.
Rus siber güvenlik şirketi Kaspersky, dahili izleme adı altında çok yönlü arka kapı Gopuram 2020’den bu yana, Mart 2023’te 3CX ihlaliyle aynı zamana denk gelen enfeksiyon sayısında bir artış gözlemlediğini söyledi.
Gopuram’ın birincil işlevi, bir komuta ve kontrol (C2) sunucusuna bağlanmak ve saldırganların kurbanın dosya sistemiyle etkileşime girmesine, işlemler oluşturmasına ve sekiz adede kadar bellek içi modülü başlatmasına olanak tanıyan diğer talimatları beklemektir.
Arka kapının Kuzey Kore ile bağlantıları, 2020’de Güneydoğu Asya’da bulunan isimsiz bir kripto firmasına yapılan saldırıyı detaylandıran “Korece konuşan tehdit aktörü Lazarus’a atfedilen bir arka kapı olan AppleJeus ile kurban makinelerde bir arada var olmasından” kaynaklanıyor.
Kripto para şirketlerinin hedef alınması, Lazarus Group’un yaptırımlardan etkilenen ulus için yasadışı karlar elde etmek için finans endüstrisine tekrar tekrar odaklanması göz önüne alındığında, Lazarus Group’un katılımının bir başka açıklayıcı işaretidir.
Kaspersky ayrıca bir sunucuyla bir C2 çakışması tespit ettiğini söyledi (“wirexpro[.]com”) daha önce bir şirkette kullanıldığı tespit edilen AppleJeus kampanyası Aralık 2022’de Malwarebytes tarafından belgelenmiştir.
Şirket, “Gopuram arka kapısı ondan daha az virüslü makineye yerleştirildiğinden, saldırganların Gopuram’ı cerrahi hassasiyetle kullandığını gösteriyor” dedi ve en yüksek enfeksiyon oranlarının Brezilya, Almanya, İtalya ve Fransa’da tespit edildiğini de sözlerine ekledi.
Şimdiye kadar keşfedilen saldırı zinciri, bir bilgi hırsızını (İKONİK Hırsız olarak bilinir) dağıtmak için hileli yükleyicilerin kullanılmasını gerektirse de, en son bulgular, kampanyanın nihai amacının, tam teşekküllü modüler arka kapı ile hedeflere bulaşmak olabileceğini gösteriyor.
Bununla birlikte, kampanyanın ne kadar başarılı olduğu ve hassas verilerin veya kripto para biriminin gerçekten çalınmasına yol açıp açmadığı bilinmiyor. Bununla birlikte, ICONIC Stealer’ın geniş bir ağ oluşturmak ve devam eden istismar için ilgili hedefleri belirlemek için bir keşif aracı olarak kullanıldığı olasılığını artırıyor.
Geliştirme BlackBerry olarak geliyor ortaya çıkardı “Bu operasyonun ilk aşaması, yaz sonu ile 2022 sonbaharının başı arasında gerçekleşti.”
Kanadalı şirkete göre saldırı girişimlerinin çoğu Avustralya, ABD ve Birleşik Krallık’ta kaydedildi ve sağlık, ilaç, bilişim ve finans en çok hedeflenen sektörler olarak ortaya çıktı.
Tehdit aktörünün 3CX ağına ilk erişimi nasıl elde ettiği ve bunun bilinen veya bilinmeyen bir güvenlik açığından yararlanmayı gerektirip gerektirmediği şu anda net değil. Uzlaşma, tanımlayıcı altında izleniyor CVE-2023-29059.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
Bugüne kadar toplanan kanıtlar, saldırganların 3CX’in geliştirme ortamını zehirlediğini ve SolarWinds veya Kaseya benzeri bir tedarik zinciri saldırısında meşru uygulamanın truva atına dönüştürülmüş sürümlerini şirketin alt müşterilerine teslim ettiğini gösteriyor.
Bilgi hırsızını ele geçirmekten sorumlu kötü amaçlı bileşenlerden biri olan “d3dcompiler_47.dll” adlı bir kitaplık da tespit edildi silahlandırmak 10 yıllık bir Windows kusuru (CVE-2013-3900) Microsoft tarafından verilen imzasını geçersiz kılmadan şifrelenmiş kabuk kodunu dahil etmek.
Burada kayda değer bir nokta, aynı tekniğin Ocak 2022’de İsrailli siber güvenlik firması Check Point Research tarafından ortaya çıkarılan bir ZLoader kötü amaçlı yazılım kampanyasında benimsenmiş olmasıdır.
Masaüstü uygulamasının birden çok sürümü (Windows için 18.12.407 ve 18.12.416 ve macOS için 18.11.1213, 18.12.402, 18.12.407 ve 18.12.416) etkilendi. 3CX o zamandan beri saldırıyı sabitledi “son derece deneyimli ve bilgili bir bilgisayar korsanı” hakkında.
CrowdStrike, olayı, Lazarus Group içindeki bir alt küme olan Labyrinth Chollima takma adı altında izlediği Kuzey Kore bağlantılı bir ulus devlet grubuna bağladı.