खतरा पैदा करने वाला — लाजर समूह माना जाता है — जिसने हाल ही में कंपनी के ग्राहकों को सूचना-चोरी करने वाले सॉफ़्टवेयर वितरित करने के लिए 3CX के वीओआईपी डेस्कटॉप एप्लिकेशन से समझौता किया है, उनमें से कुछ से संबंधित सिस्टम पर दूसरे चरण के पिछले दरवाजे को भी गिरा दिया है।
बैकडोर, जिसे "गोपुरम" कहा जाता है, में कई मॉड्यूल होते हैं, जिनका उपयोग खतरे के कारक डेटा को एक्सफ़िलिएट करने के लिए कर सकते हैं; अतिरिक्त मैलवेयर स्थापित करें; सेवाओं को प्रारंभ करना, बंद करना और हटाना; और पीड़ित प्रणालियों के साथ सीधे बातचीत करें। Kaspersky के शोधकर्ताओं ने 3CX DesktopApp के समझौता किए गए संस्करणों को चलाने वाले मुट्ठी भर सिस्टम पर मैलवेयर देखा।
इस बीच, कुछ सुरक्षा शोधकर्ता अब कहते हैं कि उनके विश्लेषण से पता चलता है कि खतरे के अभिनेताओं ने 10 साल पुरानी विंडोज भेद्यता का शोषण किया हो सकता है (CVE-2013-3900).
गोपुरम: पिछले दरवाजे से लाजर से जुड़ा हुआ जाना जाता है
कास्परस्की ने गोपुरम की पहचान की एक पिछले दरवाजे के रूप में यह कम से कम 2020 से नज़र रख रहा है जब कंपनी ने पाया कि यह दक्षिण पूर्व एशिया में एक क्रिप्टोक्यूरेंसी कंपनी से संबंधित सिस्टम पर स्थापित है। उस समय के शोधकर्ताओं ने AppleJeus नामक एक अन्य बैकडोर के साथ एक सिस्टम पर पिछले दरवाजे को स्थापित पाया, जिसके लिए जिम्मेदार ठहराया गया था उत्तर कोरिया का विपुल लाजर समूह.
3 अप्रैल को एक ब्लॉग पोस्ट में, कास्परस्की ने निष्कर्ष निकाला कि 3CX पर हमला भी उसी संगठन का काम था। कास्परस्की ने कहा, "नए गोपुरम संक्रमणों की खोज ने हमें मध्यम से उच्च आत्मविश्वास के साथ 3CX अभियान को लाजर के खतरे वाले अभिनेता के लिए विशेषता देने की अनुमति दी।"
कास्परस्की के शोधकर्ता जॉर्जी कुचेरिन का कहना है कि पिछले दरवाजे का उद्देश्य साइबर जासूसी करना है। वे कहते हैं, "गोपुरम हमलावरों द्वारा गिराए गए दूसरे चरण का पेलोड है", लक्ष्य संगठनों पर जासूसी करने के लिए।
Kaspersky की दूसरे चरण के मैलवेयर की खोज 3CX पर हमले के लिए एक और शिकन जोड़ती है, जो कि विंडोज, macOS और लिनक्स सिस्टम के लिए वीडियोकांफ्रेंसिंग, PBX और बिजनेस कम्युनिकेशन ऐप का प्रदाता है। कंपनी ने दावा किया है कि दुनिया भर में लगभग 600,000 संगठन - 12 मिलियन से अधिक दैनिक उपयोगकर्ताओं के साथ - वर्तमान में इसके 3CX DesktopApp का उपयोग करते हैं।
एक प्रमुख आपूर्ति श्रृंखला समझौता
30 मार्च को, 3CX के सीईओ निक गालिया और CISO पियरे जर्सडान ने इसकी पुष्टि की हमलावरों ने कुछ Windows और macOS संस्करणों से समझौता किया था मैलवेयर वितरित करने के लिए सॉफ़्टवेयर की। कई सुरक्षा विक्रेताओं द्वारा 3CX DesktopApp बाइनरी के वैध, हस्ताक्षरित अपडेट से जुड़ी संदिग्ध गतिविधि को देखने की रिपोर्ट के बाद यह खुलासा हुआ।
उनकी जांच से पता चला कि एक खतरे वाले अभिनेता - जिसे अब लाजर समूह के रूप में पहचाना जाता है - ने एप्लिकेशन के इंस्टॉलेशन पैकेज में दो डायनेमिक लिंक लाइब्रेरी (DLL) से समझौता किया था, उनमें दुर्भावनापूर्ण कोड जोड़ा गया था। 3CX से स्वचालित अपडेट के माध्यम से और मैन्युअल अपडेट के माध्यम से उपयोगकर्ता सिस्टम पर हथियारबंद ऐप्स समाप्त हो गए।
एक बार एक सिस्टम पर, हस्ताक्षरित 3CX DesktopApp दुर्भावनापूर्ण इंस्टॉलर को निष्पादित करता है, जो तब चरणों की एक श्रृंखला शुरू करता है जो एक सूचना-चोरी करने वाले मैलवेयर के साथ समझौता किए गए सिस्टम पर स्थापित हो जाता है। कई सुरक्षा शोधकर्ताओं ने नोट किया है कि केवल एक हमलावर जिसके पास 3CX के विकास या निर्माण वातावरण तक उच्च स्तर की पहुंच है, वह DLL में दुर्भावनापूर्ण कोड पेश कर सकता है और किसी का ध्यान नहीं जा सकता है।
3CX ने घटना की जांच करने के लिए मैंडिएंट को काम पर रखा है और कहा है कि यह सभी विवरण होने के बाद वास्तव में क्या हुआ, इसके बारे में अधिक जानकारी जारी करेगा।
हमलावरों ने 10 साल पुरानी विंडोज की खराबी का फायदा उठाया
Lazarus Group ने भी स्पष्ट रूप से हस्ताक्षर को अमान्य किए बिना Microsoft DLL में दुर्भावनापूर्ण कोड जोड़ने के लिए 10-वर्षीय बग का उपयोग किया।
अपने 2103 भेद्यता प्रकटीकरण में, Microsoft ने हमलावरों को हस्ताक्षर को अमान्य किए बिना हस्ताक्षरित निष्पादन योग्य में दुर्भावनापूर्ण कोड जोड़ने का एक तरीका देने के रूप में दोष का वर्णन किया था। इस मुद्दे के लिए कंपनी के अपडेट ने बदल दिया कि विंडोज ऑथेंटिकोड के साथ हस्ताक्षरित बायनेरिज़ कैसे सत्यापित हैं। मूल रूप से, अद्यतन ने यह सुनिश्चित किया कि यदि किसी ने पहले से हस्ताक्षरित बाइनरी में परिवर्तन किया है, तो विंडोज़ अब बाइनरी को हस्ताक्षरित के रूप में नहीं पहचान पाएगा।
उस समय अपडेट की घोषणा करते हुए, Microsoft ने इसे एक ऑप्ट-इन अपडेट भी बनाया, जिसका अर्थ है कि उपयोगकर्ताओं को अपडेट को लागू करने की आवश्यकता नहीं थी, अगर उन्हें सख्त हस्ताक्षर सत्यापन के बारे में चिंता थी, जिससे उन स्थितियों में समस्याएँ पैदा हो रही थीं, जहाँ उन्होंने इंस्टॉलरों में कस्टम परिवर्तन किए होंगे।
ट्रेंड माइक्रो में थ्रेट इंटेलिजेंस के उपाध्यक्ष जॉन क्ले कहते हैं, "माइक्रोसॉफ्ट एक समय के लिए इस पैच को आधिकारिक बनाने के लिए अनिच्छुक था।" "इस भेद्यता से क्या दुरुपयोग किया जा रहा है, संक्षेप में, फ़ाइल के अंत में एक स्क्रैच-पैड स्थान है। इसे एक कुकी फ़्लैग की तरह समझें जिसे कई एप्लिकेशन को उपयोग करने की अनुमति दी गई है, जैसे कुछ इंटरनेट ब्राउज़र।"
Symantec की थ्रेट हंटर टीम के वरिष्ठ खुफिया विश्लेषक ब्रिगिड ओ'गोरमैन का कहना है कि कंपनी के शोधकर्ताओं ने 3CX हमलावरों को एक हस्ताक्षरित Microsoft DLL के अंत में डेटा जोड़ते हुए देखा। "यह ध्यान देने योग्य है कि फ़ाइल में जो जोड़ा जाता है वह एन्क्रिप्टेड डेटा है जिसे दुर्भावनापूर्ण कोड में बदलने के लिए कुछ और चाहिए," ओ'गोर्मन कहते हैं। इस मामले में, 3CX एप्लिकेशन ffmpeg.dll फ़ाइल को साइडलोड करता है, जो फ़ाइल के अंत में संलग्न डेटा को पढ़ता है और फिर इसे कोड में डिक्रिप्ट करता है जो बाहरी कमांड-एंड-कंट्रोल (C2) सर्वर को कॉल करता है, वह नोट करती है।
"मुझे लगता है कि इस समय संगठनों के लिए सबसे अच्छी सलाह सीवीई-2013-3900 के लिए माइक्रोसॉफ्ट के पैच को लागू करना होगा, अगर उन्होंने पहले से ऐसा नहीं किया है," ओ'गोर्मन कहते हैं।
विशेष रूप से, जिन संगठनों ने भेद्यता को पैच किया हो सकता है, जब Microsoft ने पहली बार इसके लिए एक अपडेट जारी किया था, तो उन्हें फिर से ऐसा करने की आवश्यकता होगी यदि उनके पास विंडोज 11 है। ऐसा इसलिए है क्योंकि नए ओएस ने पैच, कुचेरिन और अन्य शोधकर्ताओं के प्रभाव को कम कर दिया है।
"CVE-2013-3900 का उपयोग दूसरे चरण के DLL द्वारा सुरक्षा अनुप्रयोगों से छिपाने के प्रयास में किया गया था जो केवल वैधता के लिए एक डिजिटल हस्ताक्षर के विरुद्ध जाँच करते हैं," क्ले कहते हैं। पैचिंग से सुरक्षा उत्पादों को विश्लेषण के लिए फ़ाइल को फ़्लैग करने में मदद मिलेगी, उन्होंने नोट किया।
Microsoft ने CVE-2013-3900 को ऑप्ट-इन अपडेट बनाने के अपने निर्णय के बारे में जानकारी के लिए डार्क रीडिंग अनुरोध का तुरंत जवाब नहीं दिया; शमन; या विंडोज 11 स्थापित करने से पैच के प्रभाव वापस आ जाते हैं।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor
- :है
- 000
- 11
- 2020
- 7
- a
- योग्य
- About
- पहुँच
- गतिविधि
- अभिनेताओं
- जोड़ा
- अतिरिक्त
- जोड़ता है
- सलाह
- बाद
- के खिलाफ
- सब
- साथ - साथ
- पहले ही
- विश्लेषण
- विश्लेषक
- और
- की घोषणा
- अन्य
- अनुप्रयोग
- आवेदन
- अनुप्रयोगों
- लागू करें
- क्षुधा
- अप्रैल
- हैं
- चारों ओर
- AS
- एशिया
- जुड़े
- At
- आक्रमण
- स्वचालित
- वापस
- पिछले दरवाजे
- मूल रूप से
- BE
- क्योंकि
- जा रहा है
- माना
- BEST
- ब्लॉग
- भंग
- ब्राउज़रों
- निर्माण
- व्यापार
- by
- बुलाया
- कॉल
- अभियान
- कर सकते हैं
- मामला
- के कारण
- मुख्य कार्यपालक अधिकारी
- कुछ
- श्रृंखला
- परिवर्तन
- चेक
- सीआईएसओ
- ने दावा किया
- कोड
- संचार
- कंपनी
- छेड़छाड़ की गई
- चिंताओं
- निष्कर्ष निकाला
- आचरण
- आत्मविश्वास
- की पुष्टि
- शामिल हैं
- cryptocurrency
- वर्तमान में
- रिवाज
- ग्राहक
- साइबर
- दैनिक
- अंधेरा
- डार्क रीडिंग
- तिथि
- निर्णय
- वर्णित
- डेस्कटॉप
- विवरण
- विकास
- डीआईडी
- डिजिटल
- सीधे
- प्रकटीकरण
- खोज
- बांटो
- बूंद
- गिरा
- गतिशील
- प्रभाव
- प्रभाव
- एन्क्रिप्टेड
- समाप्त होता है
- वातावरण
- जासूसी
- सार
- ठीक ठीक
- निष्पादित करता है
- शोषित
- बाहरी
- पट्टिका
- प्रथम
- दोष
- के लिए
- पाया
- से
- मिल
- मिल रहा
- देते
- समूह
- मुट्ठी
- है
- मदद
- छिपाना
- हाई
- कैसे
- HTTPS
- पहचान
- तुरंत
- in
- घटना
- संक्रमणों
- करें-
- आरंभ
- स्थापित
- installed
- स्थापित कर रहा है
- बुद्धि
- बातचीत
- इंटरनेट
- परिचय कराना
- जांच
- जांच
- मुद्दा
- जारी किए गए
- IT
- आईटी इस
- जेपीजी
- Kaspersky
- जानने वाला
- कोरिया
- लाजास्र्स
- लाजर समूह
- स्तर
- पुस्तकालयों
- पसंद
- संभावित
- LINK
- जुड़ा हुआ
- लिनक्स
- लंबे समय तक
- MacOS
- बनाया गया
- प्रमुख
- बनाना
- मैलवेयर
- गाइड
- बहुत
- मार्च
- अर्थ
- मध्यम
- माइक्रोसॉफ्ट
- हो सकता है
- दस लाख
- मॉड्यूल
- पल
- अधिक
- विभिन्न
- आवश्यकता
- की जरूरत है
- नया
- विख्यात
- नोट्स
- संख्या
- of
- सरकारी
- on
- संगठनों
- OS
- अन्य
- पैकेज
- पैच
- पैच
- पीबीएक्स
- पिअर
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- पद
- अध्यक्ष
- समस्याओं
- उत्पाद
- प्रदाता
- उद्देश्य
- पढ़ना
- हाल ही में
- पहचान
- और
- की सूचना दी
- का अनुरोध
- शोधकर्ता
- शोधकर्ताओं
- प्रतिक्रिया
- रोल
- दौड़ना
- s
- कहा
- वही
- कहते हैं
- सुरक्षा
- वरिष्ठ
- कई
- सेवाएँ
- कई
- दिखाता है
- पर हस्ताक्षर किए
- के बाद से
- स्थितियों
- छोटा
- So
- सॉफ्टवेयर
- कुछ
- कोई
- कुछ
- दक्षिण पूर्व एशिया
- अंतरिक्ष
- प्रारंभ
- कदम
- रुकें
- सख्त
- आपूर्ति
- आपूर्ति श्रृंखला
- संदेहजनक
- प्रणाली
- सिस्टम
- लक्ष्य
- टीम
- कि
- RSI
- लेकिन हाल ही
- उन
- इसलिये
- धमकी
- खतरों के खिलाड़ी
- पहर
- सेवा मेरे
- ट्रैकिंग
- प्रवृत्ति
- मोड़
- अपडेट
- अपडेट
- us
- उपयोग
- उपयोगकर्ता
- उपयोगकर्ताओं
- विक्रेताओं
- सत्यापन
- सत्यापित
- के माध्यम से
- वाइस राष्ट्रपति
- शिकार
- भेद्यता
- मार्ग..
- क्या
- एचएमबी क्या है?
- या
- कौन कौन से
- मर्जी
- खिड़कियां
- विंडोज 11
- साथ में
- बिना
- काम
- दुनिया भर
- लायक
- होगा
- जेफिरनेट