3CX ब्रीच चौड़ा हो जाता है क्योंकि साइबर अटैकर्स दूसरे चरण के पिछले दरवाजे को गिरा देते हैं

3CX ब्रीच चौड़ा हो जाता है क्योंकि साइबर अटैकर्स दूसरे चरण के पिछले दरवाजे को गिरा देते हैं

समय टिकट: 3 अप्रैल, 2023 5:12 PM
3सीएक्स उल्लंघन का दायरा बढ़ता जा रहा है क्योंकि साइबर हमलावर दूसरे चरण के बैकडोर प्लेटोब्लॉकचेन डेटा इंटेलिजेंस को गिरा देते हैं। लंबवत खोज. ऐ.

खतरा पैदा करने वाला — लाजर समूह माना जाता है — जिसने हाल ही में कंपनी के ग्राहकों को सूचना-चोरी करने वाले सॉफ़्टवेयर वितरित करने के लिए 3CX के वीओआईपी डेस्कटॉप एप्लिकेशन से समझौता किया है, उनमें से कुछ से संबंधित सिस्टम पर दूसरे चरण के पिछले दरवाजे को भी गिरा दिया है।

बैकडोर, जिसे "गोपुरम" कहा जाता है, में कई मॉड्यूल होते हैं, जिनका उपयोग खतरे के कारक डेटा को एक्सफ़िलिएट करने के लिए कर सकते हैं; अतिरिक्त मैलवेयर स्थापित करें; सेवाओं को प्रारंभ करना, बंद करना और हटाना; और पीड़ित प्रणालियों के साथ सीधे बातचीत करें। Kaspersky के शोधकर्ताओं ने 3CX DesktopApp के समझौता किए गए संस्करणों को चलाने वाले मुट्ठी भर सिस्टम पर मैलवेयर देखा।

इस बीच, कुछ सुरक्षा शोधकर्ता अब कहते हैं कि उनके विश्लेषण से पता चलता है कि खतरे के अभिनेताओं ने 10 साल पुरानी विंडोज भेद्यता का शोषण किया हो सकता है (CVE-2013-3900).

गोपुरम: पिछले दरवाजे से लाजर से जुड़ा हुआ जाना जाता है

कास्परस्की ने गोपुरम की पहचान की एक पिछले दरवाजे के रूप में यह कम से कम 2020 से नज़र रख रहा है जब कंपनी ने पाया कि यह दक्षिण पूर्व एशिया में एक क्रिप्टोक्यूरेंसी कंपनी से संबंधित सिस्टम पर स्थापित है। उस समय के शोधकर्ताओं ने AppleJeus नामक एक अन्य बैकडोर के साथ एक सिस्टम पर पिछले दरवाजे को स्थापित पाया, जिसके लिए जिम्मेदार ठहराया गया था उत्तर कोरिया का विपुल लाजर समूह.

3 अप्रैल को एक ब्लॉग पोस्ट में, कास्परस्की ने निष्कर्ष निकाला कि 3CX पर हमला भी उसी संगठन का काम था। कास्परस्की ने कहा, "नए गोपुरम संक्रमणों की खोज ने हमें मध्यम से उच्च आत्मविश्वास के साथ 3CX अभियान को लाजर के खतरे वाले अभिनेता के लिए विशेषता देने की अनुमति दी।"

कास्परस्की के शोधकर्ता जॉर्जी कुचेरिन का कहना है कि पिछले दरवाजे का उद्देश्य साइबर जासूसी करना है। वे कहते हैं, "गोपुरम हमलावरों द्वारा गिराए गए दूसरे चरण का पेलोड है", लक्ष्य संगठनों पर जासूसी करने के लिए।

Kaspersky की दूसरे चरण के मैलवेयर की खोज 3CX पर हमले के लिए एक और शिकन जोड़ती है, जो कि विंडोज, macOS और लिनक्स सिस्टम के लिए वीडियोकांफ्रेंसिंग, PBX और बिजनेस कम्युनिकेशन ऐप का प्रदाता है। कंपनी ने दावा किया है कि दुनिया भर में लगभग 600,000 संगठन - 12 मिलियन से अधिक दैनिक उपयोगकर्ताओं के साथ - वर्तमान में इसके 3CX DesktopApp का उपयोग करते हैं।

एक प्रमुख आपूर्ति श्रृंखला समझौता

30 मार्च को, 3CX के सीईओ निक गालिया और CISO पियरे जर्सडान ने इसकी पुष्टि की हमलावरों ने कुछ Windows और macOS संस्करणों से समझौता किया था मैलवेयर वितरित करने के लिए सॉफ़्टवेयर की। कई सुरक्षा विक्रेताओं द्वारा 3CX DesktopApp बाइनरी के वैध, हस्ताक्षरित अपडेट से जुड़ी संदिग्ध गतिविधि को देखने की रिपोर्ट के बाद यह खुलासा हुआ।

उनकी जांच से पता चला कि एक खतरे वाले अभिनेता - जिसे अब लाजर समूह के रूप में पहचाना जाता है - ने एप्लिकेशन के इंस्टॉलेशन पैकेज में दो डायनेमिक लिंक लाइब्रेरी (DLL) से समझौता किया था, उनमें दुर्भावनापूर्ण कोड जोड़ा गया था। 3CX से स्वचालित अपडेट के माध्यम से और मैन्युअल अपडेट के माध्यम से उपयोगकर्ता सिस्टम पर हथियारबंद ऐप्स समाप्त हो गए।

एक बार एक सिस्टम पर, हस्ताक्षरित 3CX DesktopApp दुर्भावनापूर्ण इंस्टॉलर को निष्पादित करता है, जो तब चरणों की एक श्रृंखला शुरू करता है जो एक सूचना-चोरी करने वाले मैलवेयर के साथ समझौता किए गए सिस्टम पर स्थापित हो जाता है। कई सुरक्षा शोधकर्ताओं ने नोट किया है कि केवल एक हमलावर जिसके पास 3CX के विकास या निर्माण वातावरण तक उच्च स्तर की पहुंच है, वह DLL में दुर्भावनापूर्ण कोड पेश कर सकता है और किसी का ध्यान नहीं जा सकता है। 

3CX ने घटना की जांच करने के लिए मैंडिएंट को काम पर रखा है और कहा है कि यह सभी विवरण होने के बाद वास्तव में क्या हुआ, इसके बारे में अधिक जानकारी जारी करेगा।

हमलावरों ने 10 साल पुरानी विंडोज की खराबी का फायदा उठाया

Lazarus Group ने भी स्पष्ट रूप से हस्ताक्षर को अमान्य किए बिना Microsoft DLL में दुर्भावनापूर्ण कोड जोड़ने के लिए 10-वर्षीय बग का उपयोग किया। 

अपने 2103 भेद्यता प्रकटीकरण में, Microsoft ने हमलावरों को हस्ताक्षर को अमान्य किए बिना हस्ताक्षरित निष्पादन योग्य में दुर्भावनापूर्ण कोड जोड़ने का एक तरीका देने के रूप में दोष का वर्णन किया था। इस मुद्दे के लिए कंपनी के अपडेट ने बदल दिया कि विंडोज ऑथेंटिकोड के साथ हस्ताक्षरित बायनेरिज़ कैसे सत्यापित हैं। मूल रूप से, अद्यतन ने यह सुनिश्चित किया कि यदि किसी ने पहले से हस्ताक्षरित बाइनरी में परिवर्तन किया है, तो विंडोज़ अब बाइनरी को हस्ताक्षरित के रूप में नहीं पहचान पाएगा।

उस समय अपडेट की घोषणा करते हुए, Microsoft ने इसे एक ऑप्ट-इन अपडेट भी बनाया, जिसका अर्थ है कि उपयोगकर्ताओं को अपडेट को लागू करने की आवश्यकता नहीं थी, अगर उन्हें सख्त हस्ताक्षर सत्यापन के बारे में चिंता थी, जिससे उन स्थितियों में समस्याएँ पैदा हो रही थीं, जहाँ उन्होंने इंस्टॉलरों में कस्टम परिवर्तन किए होंगे। 

ट्रेंड माइक्रो में थ्रेट इंटेलिजेंस के उपाध्यक्ष जॉन क्ले कहते हैं, "माइक्रोसॉफ्ट एक समय के लिए इस पैच को आधिकारिक बनाने के लिए अनिच्छुक था।" "इस भेद्यता से क्या दुरुपयोग किया जा रहा है, संक्षेप में, फ़ाइल के अंत में एक स्क्रैच-पैड स्थान है। इसे एक कुकी फ़्लैग की तरह समझें जिसे कई एप्लिकेशन को उपयोग करने की अनुमति दी गई है, जैसे कुछ इंटरनेट ब्राउज़र।"

Symantec की थ्रेट हंटर टीम के वरिष्ठ खुफिया विश्लेषक ब्रिगिड ओ'गोरमैन का कहना है कि कंपनी के शोधकर्ताओं ने 3CX हमलावरों को एक हस्ताक्षरित Microsoft DLL के अंत में डेटा जोड़ते हुए देखा। "यह ध्यान देने योग्य है कि फ़ाइल में जो जोड़ा जाता है वह एन्क्रिप्टेड डेटा है जिसे दुर्भावनापूर्ण कोड में बदलने के लिए कुछ और चाहिए," ओ'गोर्मन कहते हैं। इस मामले में, 3CX एप्लिकेशन ffmpeg.dll फ़ाइल को साइडलोड करता है, जो फ़ाइल के अंत में संलग्न डेटा को पढ़ता है और फिर इसे कोड में डिक्रिप्ट करता है जो बाहरी कमांड-एंड-कंट्रोल (C2) सर्वर को कॉल करता है, वह नोट करती है।

"मुझे लगता है कि इस समय संगठनों के लिए सबसे अच्छी सलाह सीवीई-2013-3900 के लिए माइक्रोसॉफ्ट के पैच को लागू करना होगा, अगर उन्होंने पहले से ऐसा नहीं किया है," ओ'गोर्मन कहते हैं।

विशेष रूप से, जिन संगठनों ने भेद्यता को पैच किया हो सकता है, जब Microsoft ने पहली बार इसके लिए एक अपडेट जारी किया था, तो उन्हें फिर से ऐसा करने की आवश्यकता होगी यदि उनके पास विंडोज 11 है। ऐसा इसलिए है क्योंकि नए ओएस ने पैच, कुचेरिन और अन्य शोधकर्ताओं के प्रभाव को कम कर दिया है।

"CVE-2013-3900 का उपयोग दूसरे चरण के DLL द्वारा सुरक्षा अनुप्रयोगों से छिपाने के प्रयास में किया गया था जो केवल वैधता के लिए एक डिजिटल हस्ताक्षर के विरुद्ध जाँच करते हैं," क्ले कहते हैं। पैचिंग से सुरक्षा उत्पादों को विश्लेषण के लिए फ़ाइल को फ़्लैग करने में मदद मिलेगी, उन्होंने नोट किया।

Microsoft ने CVE-2013-3900 को ऑप्ट-इन अपडेट बनाने के अपने निर्णय के बारे में जानकारी के लिए डार्क रीडिंग अनुरोध का तुरंत जवाब नहीं दिया; शमन; या विंडोज 11 स्थापित करने से पैच के प्रभाव वापस आ जाते हैं।

समय टिकट:

से अधिक डार्क रीडिंग