Trusselsaktøren - som formodes at være Lazarus Group - der for nylig kompromitterede 3CX's VoIP desktop-applikation til at distribuere software til at stjæle information til virksomhedens kunder, har også droppet en anden fase bagdør på systemer, der tilhører et lille antal af dem.
Bagdøren, kaldet "Gopuram", indeholder flere moduler, som trusselsaktørerne kan bruge til at eksfiltrere data; installere yderligere malware; start, stop og slet tjenester; og interagere direkte med offersystemer. Forskere fra Kaspersky opdagede malwaren på en håndfuld systemer, der kører kompromitterede versioner af 3CX DesktopApp.
I mellemtiden siger nogle sikkerhedsforskere nu, at deres analyse viser, at trusselsaktørerne kan have udnyttet en 10 år gammel Windows-sårbarhed (CVE-2013-3900).
Gopuram: Kendt bagdør knyttet til Lazarus
Kaspersky identificerede Gopuram som en bagdør har den sporet siden mindst 2020, da virksomheden fandt den installeret på et system, der tilhører et kryptovalutafirma i Sydøstasien. Forskerne fandt på det tidspunkt bagdøren installeret på et system ved siden af en anden bagdør kaldet AppleJeus, tilskrevet Nordkoreas produktive Lazarus-gruppe.
I et blogindlæg den 3. april konkluderede Kaspersky, at angrebet på 3CX derfor også meget sandsynligt var det samme outfits arbejde. "Opdagelsen af de nye Gopuram-infektioner gjorde det muligt for os at tilskrive 3CX-kampagnen til Lazarus-trusselsaktøren med medium til høj selvtillid," sagde Kaspersky.
Kaspersky-forsker Georgy Kucherin siger, at formålet med bagdøren er at udføre cyberspionage. "Gopuram er en anden trins nyttelast, som angriberne dropper" for at spionere på målorganisationer, siger han.
Kasperskys opdagelse af anden trins malware tilføjer endnu en rynke til angrebet på 3CX, en udbyder af videokonferencer, PBX og forretningskommunikationsapps til Windows, macOS og Linux-systemer. Virksomheden har hævdet, at omkring 600,000 organisationer verden over - med mere end 12 millioner daglige brugere - i øjeblikket bruger deres 3CX DesktopApp.
Et stort forsyningskædekompromis
Den 30. marts bekræftede 3CX CEO Nick Galea og CISO Pierre Jourdan det angribere havde kompromitteret visse Windows- og macOS-versioner af softwaren til at distribuere malware. Afsløringen kom efter, at flere sikkerhedsleverandører rapporterede at observere mistænkelig aktivitet forbundet med legitime, signerede opdateringer af 3CX DesktopApp binær.
Deres undersøgelser viste, at en trusselsaktør - nu identificeret som Lazarus Group - havde kompromitteret to dynamiske linkbiblioteker (DLL'er) i applikationens installationspakke tilføjet ondsindet kode til dem. De bevæbnede apps endte på brugersystemer via automatiske opdateringer fra 3CX og også via manuelle opdateringer.
Når den først er på et system, udfører den signerede 3CX DesktopApp det ondsindede installationsprogram, som derefter starter en række trin, der ender med, at en informationstjælende malware bliver installeret på det kompromitterede system. Flere sikkerhedsforskere har bemærket, at kun en hacker med et højt niveau af adgang til 3CX's udviklings- eller byggemiljø ville have været i stand til at introducere ondsindet kode til DLL'erne og slippe ubemærket væk.
3CX har hyret Mandiant til at undersøge hændelsen og har sagt, at det vil frigive flere detaljer om, hvad der præcist skete, når det har alle detaljerne.
Angribere udnyttede en 10 år gammel Windows-fejl
Lazarus Group brugte tilsyneladende også en 10 år gammel fejl til at tilføje ondsindet kode til en Microsoft DLL uden at ugyldiggøre signaturen.
I sin 2103-sårbarhedsafsløring havde Microsoft beskrevet fejlen som at give angribere en måde at tilføje ondsindet kode til en signeret eksekverbar uden at ugyldiggøre signaturen. Virksomhedens opdatering til problemet ændrede, hvordan binære filer signeret med Windows Authenticode verificeres. Grundlæggende sikrede opdateringen, at hvis nogen lavede ændringer til en allerede signeret binær, ville Windows ikke længere genkende binæren som signeret.
Da Microsoft annoncerede opdateringen dengang, gjorde Microsoft den også til en opt-in-opdatering, hvilket betyder, at brugerne ikke behøvede at anvende opdateringen, hvis de havde bekymringer om den strengere signaturverifikation, der forårsagede problemer i situationer, hvor de kunne have foretaget tilpassede ændringer til installatører.
"Microsoft var i et stykke tid tilbageholdende med at gøre denne patch officiel," siger Jon Clay, vicepræsident for trusselsefterretning hos Trend Micro. "Det, der bliver misbrugt af denne sårbarhed, er i bund og grund en skrabeplads i slutningen af filen. Tænk på det som et cookie-flag, som mange applikationer har fået lov til at bruge, som nogle internetbrowsere."
Brigid O'Gorman, senior efterretningsanalytiker hos Symantecs Threat Hunter-team, siger, at virksomhedens forskere så 3CX-angriberne tilføje data til slutningen af en underskrevet Microsoft DLL. "Det er værd at bemærke, at det, der bliver føjet til filen, er krypterede data, der har brug for noget andet for at gøre det til ondsindet kode," siger O'Gorman. I dette tilfælde sideindlæser 3CX-applikationen ffmpeg.dll-filen, som læser de data, der er tilføjet til slutningen af filen og derefter dekrypterer den til kode, der kalder ud til en ekstern kommando-og-kontrol-server (C2), bemærker hun.
"Jeg tror, at det bedste råd til organisationer i øjeblikket ville være at anvende Microsofts patch til CVE-2013-3900, hvis de ikke allerede har gjort det," siger O'Gorman.
Navnlig ville organisationer, der kunne have rettet sårbarheden, da Microsoft udsendte en opdatering til den første gang, gøre det igen, hvis de har Windows 11. Det skyldes, at det nyere operativsystem fortryder effekten af patchen, siger Kucherin og andre forskere.
"CVE-2013-3900 blev brugt af anden-trins DLL i et forsøg på at skjule fra sikkerhedsapplikationer, der kun kontrollerer gyldigheden mod en digital signatur," siger Clay. Patching ville hjælpe sikkerhedsprodukter med at markere filen til analyse, bemærker han.
Microsoft reagerede ikke øjeblikkeligt på en Dark Reading-anmodning om oplysninger om sin beslutning om at gøre CVE-2013-3900 til en opt-in-opdatering; afbødninger; eller om installation af Windows 11 ruller effekterne af patchen tilbage.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor
- :er
- 000
- 11
- 2020
- 7
- a
- I stand
- Om
- adgang
- aktivitet
- aktører
- tilføjet
- Yderligere
- Tilføjer
- rådgivning
- Efter
- mod
- Alle
- langs med
- allerede
- analyse
- analytiker
- ,
- Annoncerer
- En anden
- app
- Anvendelse
- applikationer
- Indløs
- apps
- april
- ER
- omkring
- AS
- asia
- forbundet
- At
- angribe
- Automatisk Ur
- tilbage
- bagdør
- I bund og grund
- BE
- fordi
- være
- troede
- BEDSTE
- Blog
- brud
- browsere
- bygge
- virksomhed
- by
- kaldet
- Opkald
- Kampagne
- CAN
- tilfælde
- forårsager
- Direktør
- vis
- kæde
- Ændringer
- kontrollere
- CISO
- hævdede
- kode
- Kommunikation
- selskab
- Kompromitteret
- Bekymringer
- indgået
- Adfærd
- tillid
- BEKRÆFTET
- indeholder
- cryptocurrency
- For øjeblikket
- skik
- Kunder
- Cyber
- dagligt
- mørk
- Mørk læsning
- data
- beslutning
- beskrevet
- desktop
- detaljer
- Udvikling
- DID
- digital
- direkte
- videregivelse
- opdagelse
- distribuere
- Drop
- droppet
- dynamisk
- effekt
- effekter
- krypteret
- ender
- Miljø
- spionage
- Essensen
- præcist nok
- Udfører
- Exploited
- ekstern
- File (Felt)
- Fornavn
- fejl
- Til
- fundet
- fra
- få
- få
- Give
- gruppe
- håndfuld
- Have
- hjælpe
- Skjule
- Høj
- Hvordan
- HTTPS
- identificeret
- straks
- in
- hændelse
- infektioner
- oplysninger
- Indleder
- installere
- installeret
- installation
- Intelligens
- interagere
- Internet
- indføre
- undersøge
- Undersøgelser
- spørgsmål
- Udstedt
- IT
- ITS
- jpg
- Kaspersky
- kendt
- korea
- Lazarus
- Lazarus gruppe
- Niveau
- biblioteker
- ligesom
- Sandsynlig
- LINK
- forbundet
- linux
- længere
- MacOS
- lavet
- større
- lave
- malware
- manuel
- mange
- Marts
- betyder
- medium
- microsoft
- måske
- million
- Moduler
- øjeblik
- mere
- flere
- Behov
- behov
- Ny
- bemærkede
- Noter
- nummer
- of
- officiel
- on
- organisationer
- OS
- Andet
- pakke
- patch
- lappe
- PBX
- Pierre
- plato
- Platon Data Intelligence
- PlatoData
- Indlæg
- præsident
- problemer
- Produkter
- udbyder
- formål
- Læsning
- for nylig
- genkende
- frigive
- rapporteret
- anmode
- forsker
- forskere
- Svar
- ruller
- kører
- s
- Said
- samme
- siger
- sikkerhed
- senior
- Series
- Tjenester
- flere
- Shows
- underskrevet
- siden
- situationer
- lille
- So
- Software
- nogle
- Nogen
- noget
- Sydøstasien
- Space
- starte
- Steps
- Stands
- strengere
- forsyne
- forsyningskæde
- mistænksom
- systemet
- Systemer
- mål
- hold
- at
- deres
- Them
- derfor
- trussel
- trusselsaktører
- tid
- til
- Sporing
- Trend
- TUR
- Opdatering
- opdateringer
- us
- brug
- Bruger
- brugere
- leverandører
- Verifikation
- verificeres
- via
- Vice President
- Victim
- sårbarhed
- Vej..
- Hvad
- Hvad er
- hvorvidt
- som
- vilje
- vinduer
- Windows 11
- med
- uden
- Arbejde
- verdensplan
- værd
- ville
- zephyrnet
