3CX-i rikkumine laieneb, kui küberründajad loobuvad teise astme tagauksest

Ohustaja – arvatakse olevat Lazarus Group –, kes hiljuti kompromiteeris 3CX-i VoIP-töölauarakendust ettevõtte klientidele teabevarastamistarkvara levitamiseks, on samuti loobunud väikesele arvule neist kuuluvate süsteemide teise astme tagauksest.

Tagauks, mida nimetatakse Gopuramiks, sisaldab mitut moodulit, mida ohus osalejad saavad andmete väljafiltreerimiseks kasutada; installige täiendav pahavara; teenuste käivitamine, peatamine ja kustutamine; ja suhelda otse ohvrisüsteemidega. Kaspersky teadlased märkasid pahavara käputäies süsteemides, mis käitasid 3CX DesktopAppi ohustatud versioone.

Vahepeal väidavad mõned turbeuurijad, et nende analüüs näitab, et ohus osalejad võisid ära kasutada 10-aastast Windowsi haavatavust (CVE-2013-3900).

Gopuram: Lazarusega seotud tuntud tagauks

Kaspersky tuvastas Gopurami tagauksena on see jälginud vähemalt aastast 2020, mil ettevõte leidis selle installitud Kagu-Aasia krüptovaluutaettevõttele kuuluvale süsteemile. Sel ajal leidsid teadlased, et tagauks oli installitud süsteemi teise AppleJeuse-nimelise tagaukse kõrvale, mis on omistatud Põhja-Korea viljakas Lazaruse rühmitus.

3. aprillil avaldatud ajaveebipostituses järeldas Kaspersky, et rünnak 3CX-i vastu oli seega suure tõenäosusega sama riietuse töö. "Uute Gopurami nakkuste avastamine võimaldas meil omistada 3CX-i kampaania keskmise kuni suure usaldusväärsusega Lazaruse ohutegijale," ütles Kaspersky.

Kaspersky teadlase Georgi Kucherini sõnul on tagaukse eesmärk küberspionaaži läbiviimine. "Gopuram on teise etapi kasulik koormus, mille ründajad on maha pannud", et sihtorganisatsioonide järele luurata, ütleb ta.

Kaspersky avastatud teise astme pahavara lisab rünnakule 3CX-i vastu, mis on Windowsi, macOS-i ja Linuxi süsteemidele mõeldud videokonverentside, PBX-i ja ärisuhtlusrakenduste pakkuja. Ettevõte on väitnud, et praegu kasutab oma 600,000CX DesktopAppi umbes 12 3 organisatsiooni üle maailma – rohkem kui XNUMX miljoni igapäevase kasutajaga.

Oluline tarneahela kompromiss

30. märtsil kinnitasid 3CX tegevjuht Nick Galea ja CISO Pierre Jourdan, et ründajad olid ohustanud teatud Windowsi ja macOS-i versioone pahavara levitamiseks mõeldud tarkvara. Avalikustamine tuli pärast seda, kui mitmed turbemüüjad teatasid kahtlase tegevuse jälgimisest, mis on seotud 3CX DesktopApp binaarfaili seaduslike allkirjastatud värskendustega.

Nende uurimised näitasid, et ohutegureid, mida nüüd nimetatakse Lazarus Groupiks, oli rikkunud kaks rakenduse installipaketis olevat dünaamilise lingi teeki (DLL), mis lisasid neile pahatahtliku koodi. Relvastatud rakendused lõppesid kasutajasüsteemides 3CX-i automaatsete värskenduste ja ka käsitsi värskendamise kaudu.

Pärast süsteemi sisenemist käivitab allkirjastatud 3CX DesktopApp pahatahtliku installija, mis seejärel käivitab rea toiminguid, mis lõppevad teavet varastava pahavara installimisega rikutud süsteemi. Mitmed turbeuurijad on märkinud, et ainult 3CX-i arendus- või ehituskeskkonnale kõrge juurdepääsutasemega ründaja oleks suutnud DLL-idesse pahatahtlikku koodi sisestada ja märkamatult pääseda. 

3CX on palganud Mandianti juhtunut uurima ja on öelnud, et avaldab täpsemad üksikasjad juhtunu kohta, kui kõik üksikasjad on selgunud.

Ründajad kasutasid ära 10 aastat vana Windowsi viga

Lazarus Group kasutas ilmselt ka 10-aastast viga, et lisada pahatahtlikku koodi Microsofti DLL-i ilma allkirja kehtetuks tunnistamata. 

Oma 2103. aasta haavatavuse avalikustamisel kirjeldas Microsoft seda viga, et andis ründajatele võimaluse lisada allkirjastatud käivitatavale failile pahatahtlikku koodi ilma allkirja kehtetuks tunnistamata. Ettevõtte värskendus selle probleemi jaoks muutis Windowsi autentimiskoodiga allkirjastatud binaarfailide kontrollimist. Põhimõtteliselt tagas värskendus, et kui keegi teeb muudatusi juba allkirjastatud kahendfailis, ei tuvasta Windows enam binaarfaili allkirjastatuna.

Värskendust toona välja kuulutades muutis Microsoft selle ka valikulise värskenduse, mis tähendab, et kasutajad ei pidanud värskendust rakendama, kui neil oli muret rangema allkirjakontrolli pärast, mis põhjustab probleeme olukordades, kus nad võisid installijates kohandatud muudatusi teha. 

"Microsoft ei tahtnud mõnda aega seda plaastrit ametlikult muuta," ütleb Trend Micro ohuluure asepresident Jon Clay. "See haavatavus kuritarvitab sisuliselt faili lõpus asuvat kriimustusplaati. Mõelge sellele kui küpsiselipule, mida on lubatud kasutada paljudel rakendustel, nagu mõned Interneti-brauserid.

Brigid O'Gorman, Symanteci Threat Hunteri meeskonna luureanalüütik, ütles, et ettevõtte teadlased nägid, et 3CX-i ründajad lisasid andmeid allkirjastatud Microsofti DLL-i lõppu. "Väärib märkimist, et failile lisatakse krüptitud andmed, mis vajavad midagi muud, et muuta see pahatahtlikuks koodiks," ütleb O'Gorman. Sel juhul laadib 3CX-i rakendus külglaadimise faili ffmpeg.dll, mis loeb faili lõppu lisatud andmed ja seejärel dekrüpteerib need koodiks, mis kutsub välja välise käsu- ja juhtimisserveri (C2), märgib ta.

"Ma arvan, et praegu oleks organisatsioonidele parim nõuanne rakendada Microsofti plaastrit CVE-2013-3900 jaoks, kui nad pole seda veel teinud," ütleb O'Gorman.

Organisatsioonid, kes võisid haavatavuse paika panna, kui Microsoft selle esmakordse värskenduse välja andis, peaksid seda uuesti tegema, kui neil on Windows 11. Kucherini ja teiste uurijate sõnul on uuem operatsioonisüsteem selle paiga mõju tühistanud.

"Teise etapi DLL kasutas CVE-2013-3900, et varjata end turvarakenduste eest, mis kontrollivad kehtivust ainult digitaalallkirja vastu, " ütleb Clay. Ta märgib, et paikamine aitaks turbetoodetel faili analüüsimiseks märgistada.

Microsoft ei vastanud kohe pimeda lugemise päringule teabe saamiseks seoses otsusega muuta CVE-2013-3900 vabatahtlikuks värskenduseks; leevendused; või kas Windows 11 installimine tühistab plaastri mõju.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor