Kurumsal iletişim hizmeti sağlayıcısı 3CX, Windows ve macOS için masaüstü uygulamasını hedef alan tedarik zinciri saldırısının Kuzey Kore bağlantılı bir tehdit aktörünün işi olduğunu doğruladı.
Bulgular, izinsiz girişin geçen ayın sonlarında ortaya çıkmasından sonra hizmetleri kaydedilen Google’a ait Mandiant tarafından yürütülen bir ara değerlendirmenin sonucu. Tehdit istihbaratı ve olay müdahale birimi, etkinliği kategorize edilmemiş takma adı altında izliyor UNC4736.
Siber güvenlik firması CrowdStrike’ın, taktik örtüşmelere atıfta bulunarak saldırıyı Labyrinth Chollima adlı bir Lazarus alt grubuna bağladığını belirtmekte fayda var.
Birden fazla güvenlik satıcısından alınan analizlere dayanan saldırı zinciri, ICONIC Stealer olarak bilinen bir bilgi hırsızını yüklemek için DLL yandan yükleme tekniklerinin kullanılmasını ve ardından kripto şirketlerini hedef alan seçici saldırılarda Gopuram adlı ikinci bir aşamanın kullanılmasını gerektiriyordu.
Mandiant’ın adli soruşturması, tehdit aktörlerinin 3CX sistemlerine, COLDCAT etiketli “karmaşık bir indirici” içeren kabuk kodunun şifresini çözmek ve yüklemek için tasarlanmış, TAXHAUL kod adlı bir kötü amaçlı yazılım bulaştırdığını ortaya çıkardı.
“Windows’ta saldırgan, TAXHAUL kötü amaçlı yazılımına karşı kalıcılık elde etmek için DLL yandan yüklemeyi kullandı”, 3CX söz konusu. Kalıcılık mekanizması, saldırganın kötü amaçlı yazılımın sistem başlangıcında yüklenmesini sağlayarak, saldırganın virüs bulaşmış sisteme internet üzerinden uzaktan erişimini sürdürmesini sağlar.”
Şirket ayrıca kötü amaçlı DLL’nin (wlbsctrl.dll) olduğunu söyledi. yüklendi Windows IKE ve AuthIP IPsec Anahtarlama Modülleri tarafından (IKEEXT) aracılığıyla hizmet svchost.exeyasal bir sistem süreci.
Saldırıda hedef alınan macOS sistemlerinin, kabuk komutlarını çalıştırmak, dosya aktarmak ve yapılandırmaları güncellemek için HTTP aracılığıyla iletişim kuran C tabanlı bir kötü amaçlı yazılım olan SIMPLESEA olarak adlandırılan başka bir kötü amaçlı yazılım türü kullanılarak arka kapıdan kapatıldığı söyleniyor.
3CX ortamında tespit edilen kötü amaçlı yazılım ailelerinin en az dört komut ve kontrol (C2) sunucusuyla iletişim kurduğu gözlemlendi: azureonlinecloud[.]com, akamaicontainer[.]com, gazetecilik[.]org ve msboxonline[.]com.
Kimlik Çevresini Korumayı Öğrenin – Kanıtlanmış Stratejiler
Uzman liderliğindeki siber güvenlik web seminerimizle işletmenizin güvenliğini artırın: Kimlik Çevresi stratejilerini keşfedin!
3CX CEO’su Nick Galea, bir forum gönderisi Geçen hafta, şirketin kötü amaçlı yazılımın gerçekten etkinleştirildiği “bir avuç vakadan” haberdar olduğunu ve “gelecekteki saldırılara karşı koruma sağlamak için politikalarımızı, uygulamalarımızı ve teknolojimizi güçlendirmek” için çalıştığını söyledi. Bir güncellenmiş uygulama beri müşterilerin kullanımına sunulmuştur.
Tehdit aktörlerinin 3CX’in ağına nasıl girmeyi başardıkları ve bunun bilinen veya bilinmeyen bir güvenlik açığını silahlandırmayı gerektirip gerektirmediği şu anda belirlenmedi. Tedarik zinciri uzlaşması tanımlayıcı altında izleniyor CVE-2023-29059 (CVSS puanı: 7.8).