Uhkatoimija – uskotaan olevan Lazarus Group – joka äskettäin vaaransi 3CX:n VoIP-työpöytäsovelluksen jakaakseen tietoa varastavaa ohjelmistoa yrityksen asiakkaille, on myös pudottanut toisen vaiheen takaoven järjestelmiin, jotka kuuluvat pienelle osalle heistä.
Takaovi, nimeltään "Gopuram", sisältää useita moduuleja, joita uhkatoimijat voivat käyttää tietojen suodattamiseen; asentaa lisää haittaohjelmia; aloittaa, pysäyttää ja poistaa palvelut; ja olla suoraan vuorovaikutuksessa uhrijärjestelmien kanssa. Kasperskyn tutkijat havaitsivat haittaohjelman muutamissa järjestelmissä, joissa oli 3CX DesktopApp vaarantuneita versioita.
Sillä välin jotkut tietoturvatutkijat sanovat nyt, että heidän analyysinsä osoittaa, että uhkatoimijat ovat saattaneet hyödyntää 10 vuotta vanhaa Windowsin haavoittuvuutta (CVE-2013-3900).
Gopuram: Tunnettu takaovi, joka liittyy Lazarukseen
Kaspersky tunnisti Gopuramin takaovena se on seurannut ainakin vuodesta 2020 lähtien, jolloin yritys löysi sen asennettuna Kaakkois-Aasiassa sijaitsevalle kryptovaluuttayhtiölle. Tuolloin tutkijat löysivät takaoven asennettuna järjestelmään toisen AppleJeus-nimisen takaoven rinnalle, mikä johtuu Pohjois-Korean tuottelias Lazarus-ryhmä.
Kaspersky päätteli blogikirjoituksessaan 3. huhtikuuta, että hyökkäys 3CX:ää vastaan oli siksi myös hyvin todennäköisesti saman asun teko. "Uusien Gopuram-infektioiden löytäminen antoi meille mahdollisuuden katsoa 3CX-kampanjan Lazarus-uhan toimijan ansioksi keskipitkällä tai korkealla varmuudella", Kaspersky sanoi.
Kasperskyn tutkija Georgy Kucherin sanoo, että takaoven tarkoitus on suorittaa kybervakoilua. "Gopuram on toisen vaiheen hyötykuorma, jonka hyökkääjät pudottivat" vakoilemaan kohdeorganisaatioita, hän sanoo.
Kasperskyn löytö toisen vaiheen haittaohjelmista lisää uuden ryppyn hyökkäykseen 3CX:ää vastaan, joka tarjoaa videoneuvotteluja, PBX:ää ja yritysviestintäsovelluksia Windows-, macOS- ja Linux-järjestelmille. Yhtiö on väittänyt, että noin 600,000 12 organisaatiota maailmanlaajuisesti – yli 3 miljoonalla päivittäisellä käyttäjällä – käyttää tällä hetkellä sen XNUMXCX DesktopAppia.
Tärkeä toimitusketjun kompromissi
30. maaliskuuta 3CX:n toimitusjohtaja Nick Galea ja CISO Pierre Jourdan vahvistivat, että hyökkääjät olivat vaarantaneet tietyt Windows- ja macOS-versiot haittaohjelmien levittämiseen tarkoitetuista ohjelmistoista. Paljastus tuli sen jälkeen, kun useat tietoturvatoimittajat ilmoittivat havainneensa epäilyttävää toimintaa, joka liittyy 3CX DesktopApp -binaarin laillisiin, allekirjoitettuihin päivityksiin.
Heidän tutkimuksensa osoittivat, että uhkatoimija, joka nyt tunnetaan nimellä Lazarus Group, oli murtautunut kahteen dynaamiseen linkkikirjastoon (DLL) sovelluksen asennuspaketissa ja lisännyt niihin haitallista koodia. Aseistetut sovellukset päätyivät käyttäjien järjestelmiin 3CX:n automaattisten päivitysten ja myös manuaalisten päivitysten kautta.
Järjestelmään päästyään allekirjoitettu 3CX DesktopApp suorittaa haitallisen asennusohjelman, joka sitten käynnistää sarjan vaiheita, jotka päättyvät tietoja varastavan haittaohjelman asentamiseen vaarantuneeseen järjestelmään. Useat tietoturvatutkijat ovat havainneet, että vain hyökkääjä, jolla on korkea pääsy 3CX:n kehitys- tai rakennusympäristöön, olisi voinut lisätä haitallista koodia DLL-tiedostoihin ja päästä pois huomaamatta.
3CX on palkannut Mandiantin tutkimaan tapausta ja on sanonut julkaisevansa lisätietoja siitä, mitä tarkalleen tapahtui, kun se on saanut kaikki yksityiskohdat.
Hyökkääjät käyttivät hyväkseen 10 vuotta vanhaa Windows-virhettä
Lazarus Group käytti myös ilmeisesti 10 vuotta vanhaa virhettä haitallisen koodin lisäämiseen Microsoftin DLL-tiedostoon mitätöimättä allekirjoitusta.
Microsoft kuvaili 2103-haavoittuvuusilmoituksessaan, että se antoi hyökkääjille mahdollisuuden lisätä haitallista koodia allekirjoitettuun suoritettavaan tiedostoon allekirjoitusta mitätöimättä. Yrityksen päivitys ongelmaan muutti tapaa, jolla Windows Authenticodella allekirjoitetut binaarit tarkistetaan. Periaatteessa päivitys varmisti, että jos joku tekee muutoksia jo allekirjoitettuun binaariin, Windows ei enää tunnista binaaria allekirjoitetuksi.
Ilmoittaessaan päivityksen tuolloin Microsoft teki siitä myös opt-in-päivityksen, mikä tarkoittaa, että käyttäjien ei tarvinnut asentaa päivitystä, jos heillä oli huolia tiukemmasta allekirjoituksen tarkistuksesta, joka aiheuttaa ongelmia tilanteissa, joissa he ovat saattaneet tehdä mukautettuja muutoksia asentajiin.
"Microsoft oli jonkin aikaa vastahakoinen tekemään tästä korjaustiedostosta virallisen", sanoo Jon Clay, Trend Micron uhkien tiedustelujohtaja. "Tämä haavoittuvuus väärinkäyttää pohjimmiltaan tiedoston lopussa olevaa tyhjää tilaa. Ajattele sitä evästelippuna, jota monet sovellukset ovat saaneet käyttää, kuten jotkut Internet-selaimet."
Brigid O'Gorman, Symantecin Threat Hunter -tiimin vanhempi tiedustelu-analyytikko, sanoo, että yhtiön tutkijat näkivät 3CX-hyökkääjien liittävän tietoja allekirjoitetun Microsoft DLL:n loppuun. "On syytä huomata, että tiedostoon lisätään salattua tietoa, joka tarvitsee jotain muuta muuttaakseen sen haitalliseksi koodiksi", O'Gorman sanoo. Tässä tapauksessa 3CX-sovellus sivulataa ffmpeg.dll-tiedoston, joka lukee tiedoston loppuun liitetyt tiedot ja purkaa sen sitten koodiksi, joka kutsuu ulkoiseen komento- ja ohjauspalvelimeen (C2), hän huomauttaa.
"Mielestäni paras neuvo organisaatioille tällä hetkellä olisi asentaa Microsoftin korjaustiedosto CVE-2013-3900:lle, jos he eivät ole jo tehneet niin", O'Gorman sanoo.
Erityisesti organisaatioiden, jotka ovat saattaneet korjata haavoittuvuuden, kun Microsoft julkaisi sille ensimmäisen päivityksen, olisi tehtävä se uudelleen, jos heillä on Windows 11. Tämä johtuu siitä, että uudempi käyttöjärjestelmä kumosi korjaustiedoston vaikutuksen, Kucherin ja muut tutkijat sanovat.
"Toisen vaiheen DLL käytti CVE-2013-3900:ta piiloutuakseen suojaussovelluksilta, jotka tarkistavat vain digitaalisen allekirjoituksen kelpoisuuden", Clay sanoo. Paikkaus auttaisi tietoturvatuotteita merkitsemään tiedoston analysoitavaksi, hän huomauttaa.
Microsoft ei vastannut välittömästi Dark Readingin tietopyyntöön, joka koski sen päätöstä tehdä CVE-2013-3900 valinnainen päivitys. lievennyksiä; vai kumoaako Windows 11:n asentaminen korjaustiedoston vaikutukset.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor
- :On
- 000
- 11
- 2020
- 7
- a
- pystyy
- Meistä
- pääsy
- toiminta
- toimijoiden
- lisä-
- lisä-
- Lisää
- neuvot
- Jälkeen
- vastaan
- Kaikki
- rinnalla
- jo
- analyysi
- analyytikko
- ja
- Ilmoittaa
- Toinen
- sovelluksen
- Hakemus
- sovellukset
- käyttää
- sovellukset
- huhtikuu
- OVAT
- noin
- AS
- Aasia
- liittyvä
- At
- hyökkäys
- automaattisesti
- takaisin
- takaoven
- Pohjimmiltaan
- BE
- koska
- ovat
- uskoi
- PARAS
- Blogi
- rikkominen
- selaimet
- rakentaa
- liiketoiminta
- by
- nimeltään
- Puhelut
- Kampanja
- CAN
- tapaus
- aiheuttaen
- toimitusjohtaja
- tietty
- ketju
- Muutokset
- tarkastaa
- CISO
- väitti
- koodi
- Viestintä
- yritys
- Vaarantunut
- huolenaiheet
- päätökseen
- Suorittaa
- luottamus
- CONFIRMED
- sisältää
- kryptovaluutta
- Tällä hetkellä
- asiakassuhde
- Asiakkaat
- cyber
- päivittäin
- tumma
- Pimeää luettavaa
- tiedot
- päätös
- on kuvattu
- pöytä-
- yksityiskohdat
- Kehitys
- DID
- digitaalinen
- suoraan
- ilmitulo
- löytö
- jakaa
- Pudota
- putosi
- dynaaminen
- vaikutus
- vaikutukset
- salattu
- päättyy
- ympäristö
- vakoilu
- ydin
- täsmälleen
- toteuttaja
- hyödynnetään
- ulkoinen
- filee
- Etunimi
- virhe
- varten
- löytyi
- alkaen
- saada
- saada
- Antaminen
- Ryhmä
- kourallinen
- Olla
- auttaa
- Piilottaa
- Korkea
- Miten
- HTTPS
- tunnistettu
- heti
- in
- tapaus
- infektiot
- tiedot
- Osaa aloittaa
- asentaa
- asennetaan
- asentaminen
- Älykkyys
- olla vuorovaikutuksessa
- Internet
- esitellä
- tutkia
- Tutkimukset
- kysymys
- Annettu
- IT
- SEN
- jpg
- Kaspersky
- tunnettu
- Korea
- Lazarus
- Lasarus-ryhmä
- Taso
- kirjastot
- pitää
- Todennäköisesti
- LINK
- liittyvät
- linux
- kauemmin
- MacOS
- tehty
- merkittävä
- tehdä
- haittaohjelmat
- manuaalinen
- monet
- maaliskuu
- merkitys
- keskikokoinen
- Microsoft
- ehkä
- miljoona
- Moduulit
- hetki
- lisää
- moninkertainen
- Tarve
- tarpeet
- Uusi
- huomattava
- Huomautuksia
- numero
- of
- virallinen
- on
- organisaatioiden
- OS
- Muut
- paketti
- läikkä
- kauneuspilkku
- PBX
- Pierre
- Platon
- Platonin tietotieto
- PlatonData
- Kirje
- puheenjohtaja
- ongelmia
- Tuotteemme
- toimittaja
- tarkoitus
- Lukeminen
- äskettäin
- tunnistaa
- vapauta
- raportoitu
- pyyntö
- tutkija
- Tutkijat
- Vastata
- rullina
- juoksu
- s
- Said
- sama
- sanoo
- turvallisuus
- vanhempi
- Sarjat
- Palvelut
- useat
- Näytä
- allekirjoitettu
- koska
- tilanteita
- pieni
- So
- Tuotteemme
- jonkin verran
- Joku
- jotain
- Kaakkois-Aasiassa
- Tila
- Alkaa
- Askeleet
- stop
- tiukemmat
- toimittaa
- toimitusketju
- epäilyttävä
- järjestelmä
- järjestelmät
- Kohde
- joukkue-
- että
- -
- heidän
- Niitä
- siksi
- uhkaus
- uhka toimijat
- aika
- että
- Seuranta
- Trend
- VUORO
- Päivitykset
- Päivitykset
- us
- käyttää
- käyttäjä
- Käyttäjät
- myyjät
- Vahvistus
- todennettu
- kautta
- Varapresidentti
- Uhri
- alttius
- Tapa..
- Mitä
- Mikä on
- onko
- joka
- tulee
- ikkunat
- Windows 11
- with
- ilman
- Referenssit
- maailmanlaajuisesti
- arvoinen
- olisi
- zephyrnet
