Video konferans yazılımı üreticisinin müşterilerini etkileyen yakın tarihli bir tedarik zinciri uzlaşmasında asıl hedefin 3CX olmadığı ortaya çıktı: Saldırı, yüksek performanslı bir ticaret yazılımı sağlayıcısı olan Trading Technologies’i içeren önceki bir tedarik zinciri ihlali aracılığıyla geldi.
Bu, 3CX’teki ihlali, bir saldırganın birden fazla kuruluşu denemek ve ihlal etmek amacıyla ikinci bir tedarik zinciri saldırısını etkinleştirmek için bir tedarik zinciri saldırısını kullandığı bilinen ilk örneklerden biri yapar. Bununla birlikte, yeni araştırmaların gösterdiğine göre, 3CX ve müşterileri, hedefli bir saldırının kurbanları olmak yerine, tehdit aktörü için fırsatçı kurbanlar haline geldi.
Google Cloud’daki araştırmacılar Mandiant zincirleme saldırıları keşfetti 3CX, Mart 2023’te Kuzey Koreli Lazarus grubu olarak tanımlanan bir tehdit aktörünün alt müşterilere kötü amaçlı yazılım dağıtmak için 3CX’in DesktopApp’inin yasal güncellemelerini kullandığı bir olayı araştırması için güvenlik satıcısını tuttuktan sonra.
O sırada çok sayıda güvenlik satıcısı, 3CX uygulamasının yasal olarak imzalanmış Windows ve Mac sürümlerinin, kötü amaçlı yükleyicilerle birlikte gelen müşteri sistemlerine indiğini gözlemlediğini bildirdi. Kullanıcılar zehirli yazılımı dağıtmaya çalıştıklarında, kötü niyetli yükleyiciler, sistemlerinde bir bilgi hırsızlığıyla sonuçlanan bir dizi eylem gerçekleştirdi. Kaspersky daha sonra Lazarus aktörlerinin, az sayıda etkilenen 3CX kullanıcısına ait sistemlerde “Gopuram” olarak izlenen ikinci aşama bir arka kapı açtığını gözlemledi.
Güvenlik araştırmacıları, Mandiant’ın UNC4736 olarak takip ettiği Kuzey Koreli tehdit aktörünün saldırıyı gerçekleştirmek için 3CX’in yapı ortamına kapsamlı erişime ihtiyaç duyacağını tahmin ettiler. 3CX yetkilileri sorunu yalnızca kendileri not ettiler muhtemelen paketlenmiş kitaplıklardan biriyle ilgisi vardı masaüstü uygulamasında derlendi.
Hackerlar için Rastgele İndirme
Mandiant’ın UNC4736’nın 3CX ortamını tam olarak nasıl tehlikeye atmış olabileceğine ilişkin araştırması, tehdit aktörünün ilk erişimi, bir 3CX çalışanı geliştirici Trading Technologies’in web sitesinden X_TRADER adlı bir finansal ticaret paketi indirdiğinde elde ettiğini gösterdi.
Mandiant’a göre UNC4736 aktörleri daha önce Trading Technologies sistemlerini ihlal etmiş ve X_TRADER uygulamasının kurulum dosyasına bir arka kapı eklemişti. 3CX kullanıcısı, Trading Technologies web sitesinden uygulamayı indirdiğinde, yükleyici, bireyin sistemine “VEILEDSIGNAL” adı verilen modüler, çok aşamalı bir arka kapıyla sonuçlanan eylemleri tetikledi.
Kötü amaçlı yazılım, implant verilerini göndermek, kabuk kodunu yürütmek ve kendini sonlandırmak dahil olmak üzere birden fazla işlev içeriyordu. VEILEDSIGNAL ayrıca iki bileşen daha içeriyordu: biri komut ve kontrol modülünü Chrome, Firefox veya Edge’e yerleştirmek için, diğeri ise gelen iletişimleri dinlemek için.
Mandiant’ın baş danışmanı ve 3CX uzlaşmasında baş araştırmacı olan Marius Fodoreanu, UNC4736/Lazarus aktörlerinin X_TRADER için kötü amaçlı yükleyiciyi nasıl tanıttığının net olmadığını söylüyor.
“Mandiant, Trading Technologies için bir olay yanıtı gerçekleştirmiyor, bu nedenle Trading Technologies ortamına doğrudan bir görünürlük sağlayamıyoruz” diyor. Ancak Fodoreanu, Mandiant’ın Ticaret Teknolojileri ortamında taviz verildiğine dair kanıtları 2021 yılına kadar gözlemlediğini söylüyor.
Lazarus Kimlik Bilgilerini Çalmak, 3CX Derleme Sistemlerini Ele Geçirmek İçin Arka Kapıyı Kullandı
Fodoreanu, 3CX çalışanının bilgisayarının 2022’de ele geçirilmesinin ardından, tehdit unsurunun çalışanın kurumsal kimlik bilgilerini çaldığını söylüyor. Saldırganlar daha sonra, sonunda 3CX’in Windows ve macOS yapı ortamlarını tehlikeye atmak ve bitmiş 3CX yazılım paketlerine kötü amaçlı yazılım eklemek için VEILEDSIGNAL’in sistemde sağladığı yönetim düzeyinde erişim ve kalıcılığı kullandı.
Çalışan kötü amaçlı X_TRADER uygulamasını indirmemiş olsaydı, 3CX’teki ihlal bu olayda gerçekleşmeyecekti. Bu, şirketin bir teminat haline geldiği ve dolayısıyla Kuzey Koreli grubun fırsatçı bir kurbanı olduğu anlamına gelir.
Fodoreanu, “Sıfırdan başlayıp 3CX gibi bir şirketi kasıtlı olarak hedeflemeye çalışıyor olsaydınız, ilk saldırı vektörü olarak Trading Technologies’e gitmezdiniz,” diye kabul ediyor.
Bununla birlikte, tehdit aktörü yüksek değerli bir kurbanı yakaladığını keşfettiğinde, muhtemelen daha bilinçli bir şekilde ileri atılmışlardır, diyor.
“Evet, muhtemelen şu şekilde başladığına inanıyoruz: [an] fırsatçı saldırı” diyor. “Ancak çok fazla müşterisi olan bir şirkete erişimleri olduğunu anladıklarında, ilerlemeye devam etmeye ve çevreyi tehlikeye atmaya ve ardından yazılımı tehlikeye atmaya karar verdiler.”
3CX, Trading Technologies’in Müşterisi Değildir
İlginç bir şekilde 3CX, Trading Technologies’in ne satıcısı ne de müşterisidir. Trading Technologies’den bir sözcü, Dark Reading’e e-postayla yaptığı açıklamada, şirket çalışanının neden X_TRADER’ı indirmek isteyebileceğinin net olmadığını söyledi.
Sözcü, “Bunun yalnızca geçen hafta dikkatimizi çektiği göz önüne alındığında, Mandiant’ın raporundaki iddiaları doğrulama olanağımız olmadı” dedi. “Kesin olarak bildiğimiz şey, 3CX’in Trading Technologies’in satıcısı veya müşterisi olmadığı. İki şirket arasında herhangi bir iş ilişkisi yok.”
Açıklamada Trading Technologies’in Mandiant raporunda atıfta bulunulan X_TRADER uygulamasını Nisan 2020’de durdurduğu belirtildi. TT’nin 2020’nin başlarından sonra X_TRADER’ı barındırmayı, desteklemeyi ve hizmet vermeyi durdurduğu göz önüne alındığında yazılımı indirin.”
Diğer Kurbanlar?
Fodoreanu, şirket ürünü durdurduktan sonra Trading Technologies’in web sitesinde mevcut olduğu iki yıl boyunca zehirli X_TRADER uygulamasını başka kuruluşların indirmiş olabileceğini söylüyor.
“Henüz güvenliğinin ihlal edildiğini bilmeyen bazı kuruluşlar olduğundan şüpheleniyoruz” diyor. “Artık bu bilgilerin ortaya çıktığına göre, şirketlerin tehlikede olduklarını belirleme ve olaylarını kontrol altına alma sürecini hızlandırmaya yardımcı olacağını umuyoruz.”
Bu arada, ayrı bir gelişmede, güvenlik satıcısı Eset bu hafta şu anda takip ettiği yeni bir Lazarus kampanyasını bildirdi. Operasyon DreamJob, birçok nedenden dolayı 3CX saldırısıyla bağlantılı olduğuna inanıyor. Eset’te kıdemli kötü amaçlı yazılım araştırmacısı Peter Kalnai, DreamJob kampanyasında kullanılan sözde “SimplexTea” Linux kötü amaçlı yazılımının, 3CX saldırısında kullanılan C2 ağ altyapısını paylaştığını söylüyor.
Kalnai, SimplexTea yapılandırmasının, 3CX saldırısında bildirilen macOS kötü amaçlı yazılımı SIMPLESEA ile aynı adı (apdl.cf) taşıdığını söylüyor. Mesajların şifrelenme biçiminde de benzerlikler olduğunu söylüyor.