Der Angreifer – vermutlich die Lazarus Group – der kürzlich die VoIP-Desktop-Anwendung von 3CX kompromittiert hat, um informationsstehlende Software an die Kunden des Unternehmens zu verteilen, hat auch eine Hintertür der zweiten Stufe auf Systemen abgelegt, die einer kleinen Anzahl von ihnen gehören.
Die „Gopuram“ genannte Hintertür enthält mehrere Module, mit denen die Angreifer Daten exfiltrieren können; zusätzliche Malware installieren; Dienste starten, stoppen und löschen; und direkt mit Opfersystemen interagieren. Forscher von Kaspersky entdeckten die Malware auf einer Handvoll Systemen, auf denen kompromittierte Versionen der 3CX DesktopApp ausgeführt wurden.
Inzwischen sagen einige Sicherheitsforscher, dass ihre Analyse zeigt, dass die Angreifer möglicherweise eine 10 Jahre alte Windows-Schwachstelle ausgenutzt haben (CVE-2013-3900).
Gopuram: Bekannte Hintertür mit Verbindung zu Lazarus
Kaspersky hat Gopuram identifiziert Als Hintertür wird es seit mindestens 2020 verfolgt, als das Unternehmen feststellte, dass es auf einem System installiert war, das einem Kryptowährungsunternehmen in Südostasien gehörte. Die damaligen Forscher fanden die Hintertür, die auf einem System neben einer anderen Hintertür namens AppleJeus installiert war, zugeschrieben Nordkoreas produktive Lazarus-Gruppe.
In einem Blogbeitrag vom 3. April kam Kaspersky zu dem Schluss, dass der Angriff auf 3CX daher auch sehr wahrscheinlich das Werk derselben Truppe war. „Die Entdeckung der neuen Gopuram-Infektionen ermöglichte es uns, die 3CX-Kampagne mit mittlerer bis hoher Sicherheit dem Lazarus-Bedrohungsakteur zuzuordnen“, sagte Kaspersky.
Der Kaspersky-Forscher Georgy Kucherin sagt, der Zweck der Hintertür sei die Durchführung von Cyberspionage. „Gopuram ist eine Nutzlast der zweiten Stufe, die von den Angreifern abgeworfen wird“, um Zielorganisationen auszuspionieren, sagt er.
Die Entdeckung von Second-Stage-Malware durch Kaspersky fügt dem Angriff auf 3CX, einen Anbieter von Videokonferenzen, Telefonanlagen und Geschäftskommunikations-Apps für Windows-, macOS- und Linux-Systeme, eine weitere Schwachstelle hinzu. Das Unternehmen hat behauptet, dass rund 600,000 Organisationen weltweit – mit mehr als 12 Millionen täglichen Benutzern – derzeit seine 3CX DesktopApp verwenden.
Ein großer Kompromiss in der Lieferkette
Am 30. März bestätigten 3CX-CEO Nick Galea und CISO Pierre Jourdan dies Angreifer hatten bestimmte Windows- und macOS-Versionen kompromittiert der Software zur Verbreitung von Malware. Die Offenlegung erfolgte, nachdem mehrere Sicherheitsanbieter verdächtige Aktivitäten im Zusammenhang mit legitimen, signierten Updates der 3CX DesktopApp-Binärdatei beobachtet hatten.
Ihre Untersuchungen zeigten, dass ein Bedrohungsakteur – jetzt als Lazarus Group identifiziert – zwei DLLs (Dynamic Link Libraries) im Installationspaket der Anwendung kompromittiert und ihnen bösartigen Code hinzugefügt hatte. Die bewaffneten Apps endeten auf Benutzersystemen über automatische Updates von 3CX und auch über manuelle Updates.
Sobald die signierte 3CX DesktopApp auf einem System ist, führt sie das bösartige Installationsprogramm aus, das dann eine Reihe von Schritten einleitet, die damit enden, dass eine informationsstehlende Malware auf dem kompromittierten System installiert wird. Mehrere Sicherheitsforscher haben festgestellt, dass nur ein Angreifer mit umfassendem Zugriff auf die Entwicklungs- oder Build-Umgebung von 3CX in der Lage gewesen wäre, bösartigen Code in die DLLs einzuschleusen und unbemerkt davonzukommen.
3CX hat Mandiant beauftragt, den Vorfall zu untersuchen, und hat angekündigt, weitere Details darüber zu veröffentlichen, was genau passiert ist, sobald alle Details vorliegen.
Angreifer nutzten einen 10 Jahre alten Windows-Fehler aus
Die Lazarus Group nutzte offenbar auch einen 10 Jahre alten Bug, um bösartigen Code in eine Microsoft-DLL einzufügen, ohne die Signatur ungültig zu machen.
In seiner Offenlegung der Schwachstelle 2103 hatte Microsoft den Fehler so beschrieben, dass er Angreifern die Möglichkeit gebe, schädlichen Code zu einer signierten ausführbaren Datei hinzuzufügen, ohne die Signatur ungültig zu machen. Das Update des Unternehmens für das Problem hat geändert, wie mit Windows Authenticode signierte Binärdateien überprüft werden. Grundsätzlich stellte das Update sicher, dass Windows die Binärdatei nicht mehr als signiert erkannte, wenn jemand Änderungen an einer bereits signierten Binärdatei vornahm.
Bei der damaligen Ankündigung des Updates machte Microsoft es auch zu einem Opt-in-Update, was bedeutet, dass Benutzer das Update nicht anwenden mussten, wenn sie Bedenken hinsichtlich der strengeren Signaturprüfung hatten, die Probleme in Situationen verursachte, in denen sie möglicherweise benutzerdefinierte Änderungen an Installationsprogrammen vorgenommen hatten.
„Microsoft zögerte eine Zeit lang, diesen Patch offiziell zu machen“, sagt Jon Clay, Vice President of Threat Intelligence bei Trend Micro. „Was durch diese Schwachstelle im Wesentlichen missbraucht wird, ist ein Notizblock am Ende der Datei. Stellen Sie es sich wie ein Cookie-Flag vor, das viele Anwendungen verwenden dürfen, wie einige Internetbrowser.“
Brigid O'Gorman, Senior Intelligence Analyst beim Threat Hunter-Team von Symantec, sagt, die Forscher des Unternehmens hätten gesehen, wie die 3CX-Angreifer Daten an das Ende einer signierten Microsoft-DLL angehängt hätten. „Es ist erwähnenswert, dass der Datei verschlüsselte Daten hinzugefügt werden, die etwas anderes benötigen, um sie in bösartigen Code umzuwandeln“, sagt O'Gorman. In diesem Fall lädt die 3CX-Anwendung die Datei ffmpeg.dll von der Seite, die die an das Ende der Datei angehängten Daten liest und sie dann in Code entschlüsselt, der einen externen Command-and-Control-Server (C2) aufruft, bemerkt sie.
„Ich denke, der beste Rat für Unternehmen wäre im Moment, den Microsoft-Patch für CVE-2013-3900 anzuwenden, falls sie dies noch nicht getan haben“, sagt O'Gorman.
Insbesondere Organisationen, die die Sicherheitsanfälligkeit gepatcht haben könnten, als Microsoft zum ersten Mal ein Update dafür herausgab, müssten dies erneut tun, wenn sie Windows 11 haben. Das liegt daran, dass das neuere Betriebssystem die Wirkung des Patches rückgängig macht, sagen Kucherin und andere Forscher.
„CVE-2013-3900 wurde von der DLL der zweiten Stufe verwendet, um sich vor Sicherheitsanwendungen zu verstecken, die nur anhand einer digitalen Signatur auf Gültigkeit prüfen“, sagt Clay. Das Patchen würde Sicherheitsprodukten dabei helfen, die Datei zur Analyse zu kennzeichnen, bemerkt er.
Microsoft hat nicht sofort auf eine Anfrage von Dark Reading nach Informationen zu seiner Entscheidung reagiert, CVE-2013-3900 zu einem Opt-in-Update zu machen; Milderungen; oder ob die Installation von Windows 11 die Auswirkungen des Patches rückgängig macht.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor
- :Ist
- 000
- 11
- 2020
- 7
- a
- Fähig
- Über Uns
- Zugang
- Aktivität
- Akteure
- hinzugefügt
- Zusätzliche
- Fügt
- Beratung
- Nach der
- gegen
- Alle
- neben
- bereits
- Analyse
- Analytiker
- und
- Ankündigung
- Ein anderer
- App
- Anwendung
- Anwendungen
- Bewerbung
- Apps
- April
- SIND
- um
- AS
- Asien
- damit verbundenen
- At
- Attacke
- automatische
- Zurück
- Hintertür-
- Grundsätzlich gilt
- BE
- weil
- Sein
- angenommen
- BESTE
- Blog
- Verletzung
- Browsern
- bauen
- Geschäft
- by
- namens
- Aufrufe
- Kampagnen (Campaign)
- CAN
- Häuser
- verursacht
- CEO
- sicher
- Kette
- Änderungen
- aus der Ferne überprüfen
- KKV
- behauptet
- Code
- Kommunikation
- Unternehmen
- Kompromittiert
- Bedenken
- geschlossen
- Leiten
- Vertrauen
- BESTÄTIGT
- enthält
- kryptowährung
- Zur Zeit
- Original
- Kunden
- Cyber-
- Unterricht
- Dunkel
- Dunkle Lektüre
- technische Daten
- Entscheidung
- beschrieben
- Desktop
- Details
- Entwicklung
- DID
- digital
- Direkt
- Bekanntgabe
- Entdeckung
- verteilen
- Drop
- fallen gelassen
- dynamisch
- bewirken
- Effekten
- verschlüsselt
- endet
- Arbeitsumfeld
- Spionage
- Essenz
- genau
- Führt aus
- Exploited
- extern
- Reichen Sie das
- Vorname
- Fehler
- Aussichten für
- gefunden
- für
- bekommen
- bekommen
- Unterstützung
- Gruppe an
- Hand voll
- Haben
- Hilfe
- Verbergen
- GUTE
- Ultraschall
- HTTPS
- identifiziert
- sofort
- in
- Zwischenfall
- Infektionen
- Information
- Initiiert
- installieren
- installiert
- Installieren
- Intelligenz
- interagieren
- Internet
- einführen
- untersuchen
- Untersuchungen
- Problem
- Herausgegeben
- IT
- SEINE
- jpg
- Kaspersky
- bekannt
- Korea
- Lazarus
- Lazarus Group
- Niveau
- Bibliotheken
- Gefällt mir
- wahrscheinlich
- LINK
- verknüpft
- linux
- länger
- MacOS
- gemacht
- Dur
- um
- Malware
- manuell
- viele
- März
- Bedeutung
- mittlere
- Microsoft
- könnte
- Million
- Module
- Moment
- mehr
- mehrere
- Need
- Bedürfnisse
- Neu
- bekannt
- Notizen
- Anzahl
- of
- offiziell
- on
- Organisationen
- OS
- Andere
- Paket
- Patch
- Patchen
- PBX
- Pierre
- Plato
- Datenintelligenz von Plato
- PlatoData
- Post
- Präsident
- Probleme
- Produkte
- Versorger
- Zweck
- Lesebrillen
- kürzlich
- erkennen
- Release
- Berichtet
- Anforderung
- Forscher
- Forscher
- Reagieren
- Rollen
- Laufen
- s
- Said
- gleich
- sagt
- Sicherheitdienst
- Senior
- Modellreihe
- Lösungen
- mehrere
- Konzerte
- unterzeichnet
- da
- Umstände
- klein
- So
- Software
- einige
- Jemand,
- etwas
- Südostasien
- Raumfahrt
- Anfang
- Shritte
- Stoppen
- strengeren
- liefern
- Supply Chain
- misstrauisch
- System
- Systeme und Techniken
- Target
- Team
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- deswegen
- Bedrohung
- Bedrohungsakteure
- Zeit
- zu
- Tracking
- Trend
- WENDE
- Aktualisierung
- Updates
- us
- -
- Mitglied
- Nutzer
- Anbieter
- Verification
- verified
- Vizepräsident:in
- Opfer
- Verwundbarkeit
- Weg..
- Was
- Was ist
- ob
- welche
- werden wir
- Fenster
- 11 Fenster
- mit
- ohne
- Arbeiten
- Das weltweit
- wert
- würde
- Zephyrnet
