Η παραβίαση του 3CX διευρύνεται καθώς οι κυβερνοεπιτιθέμενοι εγκαταλείπουν την κερκόπορτα δεύτερου σταδίου

Ο παράγοντας απειλής —που πιστεύεται ότι είναι ο Όμιλος Lazarus— που πρόσφατα παραβίασε την επιτραπέζια εφαρμογή VoIP της 3CX για να διανείμει λογισμικό κλοπής πληροφοριών στους πελάτες της εταιρείας, έχει επίσης ρίξει μια κερκόπορτα δεύτερου σταδίου σε συστήματα που ανήκουν σε μικρό αριθμό από αυτούς.

Η κερκόπορτα, που ονομάζεται "Gopuram", περιέχει πολλαπλές ενότητες που μπορούν να χρησιμοποιήσουν οι φορείς απειλών για την εξαγωγή δεδομένων. εγκατάσταση πρόσθετου κακόβουλου λογισμικού. έναρξη, διακοπή και διαγραφή υπηρεσιών. και αλληλεπιδρούν άμεσα με τα συστήματα των θυμάτων. Ερευνητές από την Kaspersky εντόπισαν το κακόβουλο λογισμικό σε μια χούφτα συστήματα που εκτελούσαν παραβιασμένες εκδόσεις του 3CX DesktopApp.

Εν τω μεταξύ, ορισμένοι ερευνητές ασφαλείας λένε τώρα ότι η ανάλυσή τους δείχνει ότι οι παράγοντες της απειλής μπορεί να έχουν εκμεταλλευτεί μια ευπάθεια των Windows 10 ετών (CVE-2013-3900).

Gopuram: Γνωστή κερκόπορτα που συνδέεται με τον Λάζαρο

Η Kaspersky αναγνώρισε το Gopuram ως backdoor παρακολουθεί τουλάχιστον από το 2020 όταν η εταιρεία το βρήκε εγκατεστημένο σε ένα σύστημα που ανήκει σε εταιρεία κρυπτονομισμάτων στη Νοτιοανατολική Ασία. Οι ερευνητές εκείνη την εποχή βρήκαν την κερκόπορτα εγκατεστημένη σε ένα σύστημα δίπλα σε μια άλλη κερκόπορτα που ονομάζεται AppleJeus, που αποδίδεται σε Η παραγωγική ομάδα Lazarus της Βόρειας Κορέας.

Σε μια ανάρτηση ιστολογίου στις 3 Απριλίου, η Kaspersky κατέληξε στο συμπέρασμα ότι η επίθεση στο 3CX ήταν, επομένως, πολύ πιθανό να ήταν έργο της ίδιας στολή. «Η ανακάλυψη των νέων μολύνσεων Gopuram μας επέτρεψε να αποδώσουμε την καμπάνια 3CX στον ηθοποιό απειλών Lazarus με μέτρια έως υψηλή εμπιστοσύνη», είπε ο Kaspersky.

Ο ερευνητής της Kaspersky, Georgy Kucherin, λέει ότι ο σκοπός του backdoor είναι η διεξαγωγή κυβερνοκατασκοπείας. "Το Gopuram είναι ένα ωφέλιμο φορτίο δεύτερου σταδίου που έπεσαν από τους επιτιθέμενους" για να κατασκοπεύσει τους οργανισμούς-στόχους, λέει.

Η ανακάλυψη του κακόβουλου λογισμικού δεύτερου σταδίου από την Kaspersky προσθέτει άλλη μια πτυχή στην επίθεση στην 3CX, έναν πάροχο εφαρμογών τηλεδιάσκεψης, PBX και επιχειρηματικής επικοινωνίας για συστήματα Windows, macOS και Linux. Η εταιρεία ισχυρίστηκε ότι περίπου 600,000 οργανισμοί σε όλο τον κόσμο - με περισσότερους από 12 εκατομμύρια καθημερινούς χρήστες - χρησιμοποιούν αυτήν τη στιγμή το 3CX DesktopApp.

Ένας σημαντικός συμβιβασμός στην αλυσίδα εφοδιασμού

Στις 30 Μαρτίου, ο Διευθύνων Σύμβουλος της 3CX Nick Galea και ο CISO Pierre Jourdan επιβεβαίωσαν ότι οι εισβολείς είχαν παραβιάσει ορισμένες εκδόσεις Windows και macOS του λογισμικού για τη διανομή κακόβουλου λογισμικού. Η αποκάλυψη έγινε αφού αρκετοί προμηθευτές ασφαλείας ανέφεραν ότι παρατήρησαν ύποπτη δραστηριότητα που σχετίζεται με νόμιμες, υπογεγραμμένες ενημερώσεις του δυαδικού αρχείου 3CX DesktopApp.

Οι έρευνές τους έδειξαν ότι ένας παράγοντας απειλής —που τώρα προσδιορίζεται ως ο Όμιλος Lazarus— είχε παραβιάσει δύο βιβλιοθήκες δυναμικών συνδέσμων (DLL) στο πακέτο εγκατάστασης της εφαρμογής και τους πρόσθεσε κακόβουλο κώδικα. Οι οπλισμένες εφαρμογές κατέληγαν σε συστήματα χρηστών μέσω αυτόματων ενημερώσεων από το 3CX και επίσης μέσω μη αυτόματων ενημερώσεων.

Μόλις μπει σε ένα σύστημα, το υπογεγραμμένο 3CX DesktopApp εκτελεί το κακόβουλο πρόγραμμα εγκατάστασης, το οποίο στη συνέχεια ξεκινά μια σειρά βημάτων που τελειώνουν με την εγκατάσταση ενός κακόβουλου λογισμικού που κλέβει πληροφορίες στο παραβιασμένο σύστημα. Πολλοί ερευνητές ασφαλείας έχουν σημειώσει ότι μόνο ένας εισβολέας με υψηλό επίπεδο πρόσβασης στο περιβάλλον ανάπτυξης ή κατασκευής του 3CX θα μπορούσε να εισαγάγει κακόβουλο κώδικα στα DLL και να ξεφύγει απαρατήρητος. 

Η 3CX προσέλαβε τη Mandiant για να διερευνήσει το περιστατικό και είπε ότι θα δημοσιεύσει περισσότερες λεπτομέρειες για το τι ακριβώς συνέβη μόλις λάβει όλες τις λεπτομέρειες.

Οι επιτιθέμενοι εκμεταλλεύτηκαν ένα 10χρονο ελάττωμα των Windows

Η Lazarus Group προφανώς χρησιμοποίησε επίσης ένα σφάλμα 10 ετών για να προσθέσει κακόβουλο κώδικα σε ένα DLL της Microsoft χωρίς να ακυρώσει την υπογραφή. 

Στην αποκάλυψη ευπάθειας του 2103, η Microsoft είχε περιγράψει το ελάττωμα ότι παρείχε στους εισβολείς έναν τρόπο να προσθέσουν κακόβουλο κώδικα σε ένα υπογεγραμμένο εκτελέσιμο αρχείο χωρίς να ακυρώσει την υπογραφή. Η ενημέρωση της εταιρείας για το ζήτημα άλλαξε τον τρόπο επαλήθευσης των δυαδικών αρχείων που έχουν υπογραφεί με Windows Authenticode. Βασικά, η ενημέρωση εξασφάλιζε ότι εάν κάποιος έκανε αλλαγές σε ένα ήδη υπογεγραμμένο δυαδικό, τα Windows δεν θα αναγνωρίζουν πλέον το δυαδικό αρχείο ως υπογεγραμμένο.

Ανακοινώνοντας την ενημέρωση τότε, η Microsoft την έκανε επίσης μια ενημέρωση με δυνατότητα επιλογής, πράγμα που σημαίνει ότι οι χρήστες δεν χρειαζόταν να εφαρμόσουν την ενημέρωση εάν είχαν ανησυχίες σχετικά με την αυστηρότερη επαλήθευση υπογραφής που προκαλεί προβλήματα σε περιπτώσεις όπου μπορεί να είχαν κάνει προσαρμοσμένες αλλαγές στα προγράμματα εγκατάστασης. 

«Η Microsoft ήταν απρόθυμη, για κάποιο διάστημα, να κάνει επίσημο αυτό το patch», λέει ο Jon Clay, αντιπρόεδρος της υπηρεσίας πληροφοριών απειλών στην Trend Micro. «Αυτό που γίνεται κατάχρηση από αυτήν την ευπάθεια, στην ουσία, είναι ένας χώρος γρατσουνιών στο τέλος του αρχείου. Σκεφτείτε το σαν μια σημαία cookie που έχουν επιτραπεί να χρησιμοποιούν πολλές εφαρμογές, όπως ορισμένα προγράμματα περιήγησης στο Διαδίκτυο."

Η Brigid O'Gorman, ανώτερη αναλυτής πληροφοριών στην ομάδα Threat Hunter της Symantec, λέει ότι οι ερευνητές της εταιρείας είδαν τους εισβολείς 3CX να προσαρτούν δεδομένα στο τέλος ενός υπογεγραμμένου Microsoft DLL. "Αξίζει να σημειωθεί ότι αυτό που προστίθεται στο αρχείο είναι κρυπτογραφημένα δεδομένα που χρειάζονται κάτι άλλο για να το μετατρέψουν σε κακόβουλο κώδικα", λέει ο O'Gorman. Σε αυτήν την περίπτωση, η εφαρμογή 3CX φορτώνει το αρχείο ffmpeg.dll, το οποίο διαβάζει τα δεδομένα που επισυνάπτονται στο τέλος του αρχείου και στη συνέχεια τα αποκρυπτογραφεί σε κώδικα που καλεί σε έναν εξωτερικό διακομιστή εντολών και ελέγχου (C2), σημειώνει.

«Πιστεύω ότι η καλύτερη συμβουλή προς τους οργανισμούς αυτή τη στιγμή θα ήταν να εφαρμόσουν την ενημερωμένη έκδοση κώδικα της Microsoft για το CVE-2013-3900 εάν δεν το έχουν ήδη κάνει», λέει ο O'Gorman.

Συγκεκριμένα, οι οργανισμοί που ενδέχεται να είχαν επιδιορθώσει την ευπάθεια όταν η Microsoft εξέδωσε για πρώτη φορά μια ενημέρωση για αυτήν θα πρέπει να το κάνουν ξανά εάν διαθέτουν Windows 11. Αυτό συμβαίνει επειδή το νεότερο λειτουργικό σύστημα αναίρεσε την επίδραση της ενημέρωσης κώδικα, λένε ο Kucherin και άλλοι ερευνητές.

"Το CVE-2013-3900 χρησιμοποιήθηκε από το DLL δεύτερου σταδίου σε μια προσπάθεια απόκρυψης από εφαρμογές ασφαλείας που ελέγχουν μόνο μια ψηφιακή υπογραφή για εγκυρότητα", λέει ο Clay. Η ενημέρωση κώδικα θα βοηθούσε τα προϊόντα ασφαλείας να επισημάνουν το αρχείο για ανάλυση, σημειώνει.

Η Microsoft δεν απάντησε αμέσως σε ένα αίτημα Dark Reading για πληροφορίες σχετικά με την απόφασή της να καταστήσει το CVE-2013-3900 μια ενημέρωση συμμετοχής. μετριασμούς· ή εάν η εγκατάσταση των Windows 11 επαναφέρει τα εφέ της ενημέρωσης κώδικα.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor