A fenyegetettség szereplője – vélhetően a Lazarus Group –, amely a közelmúltban kompromittálta a 3CX VoIP asztali alkalmazását, hogy információlopó szoftvereket terjesztsen a vállalat ügyfelei számára, szintén megvetette a második lépcsős háttérajtót a kis részükhöz tartozó rendszereken.
A „Gopuram” nevű hátsó ajtó több olyan modult tartalmaz, amelyeket a fenyegetés szereplői az adatok kiszűrésére használhatnak; további rosszindulatú programok telepítése; szolgáltatások elindítása, leállítása és törlése; és közvetlenül interakcióba lépnek az áldozatrendszerekkel. A Kaspersky kutatói a 3CX DesktopApp feltört verzióit futtató maroknyi rendszeren észlelték a kártevőt.
Eközben egyes biztonsági kutatók azt mondják, hogy elemzésük szerint a fenyegetés szereplői kihasználhatták a Windows 10 éves sebezhetőségét (CVE-2013 3900-).
Gopuram: Lázárhoz köthető ismert hátsó ajtó
A Kaspersky azonosította a Gopuramot hátsó ajtóként legalább 2020 óta követi, amikor a cég egy délkelet-ázsiai kriptovaluta-céghez tartozó rendszerre találta telepítve. A kutatók akkoriban azt találták, hogy a hátsó ajtó egy másik, AppleJeus nevű hátsó ajtó mellett volt telepítve, aminek tulajdonítható. Észak-Korea termékeny Lazarus csoportja.
Egy április 3-i blogbejegyzésében a Kaspersky arra a következtetésre jutott, hogy a 3CX elleni támadást ezért is nagyon valószínű, hogy ugyanannak a felszerelésnek a műve. „Az új Gopuram fertőzések felfedezése lehetővé tette számunkra, hogy a 3CX kampányt a Lazarus fenyegetettség szereplőjének tulajdonítsuk közepes és nagy biztonsággal” – mondta Kaspersky.
Georgy Kucherin, a Kaspersky kutatója szerint a hátsó ajtó célja a kiberkémkedés. „A Gopuram a támadók által ledobott másodlagos rakomány”, hogy a célszervezetek után kémkedjen – mondja.
A Kaspersky felfedezése a második fokozatú rosszindulatú programokkal újabb ráncokat hoz a 3CX elleni támadáson, amely videokonferencia-, alközponti és üzleti kommunikációs alkalmazások szolgáltatója Windows, macOS és Linux rendszereken. A cég azt állította, hogy világszerte mintegy 600,000 12 szervezet – napi több mint 3 millió felhasználóval – jelenleg használja a XNUMXCX DesktopApp alkalmazást.
Jelentős kompromisszum az ellátási láncban
Március 30-án a 3CX vezérigazgatója, Nick Galea és Pierre Jourdan, a CISO megerősítette, hogy a támadók feltörtek bizonyos Windows és macOS verziókat a rosszindulatú programok terjesztésére szolgáló szoftverről. A nyilvánosságra hozatal azután történt, hogy több biztonsági gyártó arról számolt be, hogy a 3CX DesktopApp bináris fájl legitim, aláírt frissítéseivel kapcsolatos gyanús tevékenységet észlelt.
Vizsgálataik kimutatták, hogy egy fenyegető szereplő – amelyet most Lazarus csoportként azonosítanak – feltört két dinamikus hivatkozási könyvtárat (DLL) az alkalmazás telepítőcsomagjában, és rosszindulatú kódot adott hozzájuk. A fegyveres alkalmazások a felhasználói rendszereken a 3CX automatikus frissítésével és manuális frissítésekkel is véget értek.
A rendszeren az aláírt 3CX DesktopApp végrehajtja a rosszindulatú telepítőt, amely lépések sorozatát indítja el, amelyek egy információlopó rosszindulatú program telepítésével végződnek a feltört rendszerre. Több biztonsági kutató is megjegyezte, hogy csak egy támadó, aki magas szintű hozzáféréssel rendelkezik a 3CX fejlesztői vagy építési környezetéhez, képes lett volna rosszindulatú kódot juttatni a DLL-be, és észrevétlenül elmenekülni.
A 3CX megbízta a Mandiantot, hogy vizsgálja ki az incidenst, és azt mondta, hogy amint minden részlet birtokában lesz, további részleteket tesz közzé arról, hogy mi is történt pontosan.
A támadók egy 10 éves Windows-hibát használtak ki
A Lazarus Group nyilvánvalóan egy 10 éves hibát is felhasznált arra, hogy rosszindulatú kódot adjon egy Microsoft DLL-hez az aláírás érvénytelenítése nélkül.
A 2103-as biztonsági résről szóló közleményében a Microsoft úgy írta le a hibát, hogy a támadók lehetőséget adnak arra, hogy rosszindulatú kódot adjanak az aláírt végrehajtható fájlhoz az aláírás érvénytelenítése nélkül. A cég frissítése megváltoztatta a Windows Authenticode-dal aláírt bináris fájlok ellenőrzési módját. Alapvetően a frissítés biztosította, hogy ha valaki módosít egy már aláírt binárison, a Windows többé nem ismeri fel aláírtként a bináris fájlt.
A frissítés akkori bejelentésekor a Microsoft egy opcionális frissítést is tartalmazott, ami azt jelenti, hogy a felhasználóknak nem kellett alkalmazniuk a frissítést, ha aggályaik voltak a szigorúbb aláírás-ellenőrzés miatt, ami problémákat okozhat olyan helyzetekben, amikor esetleg egyéni változtatásokat hajtottak végre a telepítőkön.
„A Microsoft egy ideig vonakodott, hogy hivatalossá tegye ezt a javítást” – mondja Jon Clay, a Trend Micro fenyegetésekért felelős alelnöke. „A sérülékenységgel visszaélve lényegében egy karcolótömb található a fájl végén. Tekintsd úgy, mint egy cookie-zászlót, amelyet sok alkalmazás használhat, például néhány internetböngésző."
Brigid O'Gorman, a Symantec Threat Hunter csapatának vezető hírszerzési elemzője szerint a vállalat kutatói látták, hogy a 3CX támadók adatokat csatoltak egy aláírt Microsoft DLL végéhez. „Érdemes megjegyezni, hogy a fájlhoz titkosított adatok kerülnek hozzáadásra, amelyeknek valami másra van szükségük ahhoz, hogy rosszindulatú kóddá alakítsák” – mondja O'Gorman. Ebben az esetben a 3CX alkalmazás oldalra tölti az ffmpeg.dll fájlt, amely beolvassa a fájl végéhez csatolt adatokat, majd visszafejti azokat kódká, amely egy külső parancs- és vezérlőkiszolgálót (C2) hív meg.
„Szerintem a legjobb tanács a szervezetek számára jelenleg az lenne, ha a Microsoft javítócsomagját alkalmaznák a CVE-2013-3900-hoz, ha még nem tették meg” – mondja O'Gorman.
Nevezetesen, hogy azoknak a szervezeteknek, amelyek esetleg befoltozhatták a biztonsági rést, amikor a Microsoft először adott ki frissítést, újra meg kell tenniük, ha Windows 11-et használnak. Ennek az az oka, hogy az újabb operációs rendszer megszüntette a javítás hatását, állítja Kucherin és más kutatók.
„A CVE-2013-3900-at a második fokozatú DLL használta, hogy elrejtse magát a biztonsági alkalmazások elől, amelyek csak digitális aláírással ellenőrzik az érvényességet” – mondja Clay. Megjegyzi, hogy a javítás segítene a biztonsági termékeknek megjelölni a fájlt elemzés céljából.
A Microsoft nem válaszolt azonnal a Dark Reading információs kérésére azon döntésével kapcsolatban, hogy a CVE-2013-3900-at opcionális frissítéssé teszi; enyhítések; vagy a Windows 11 telepítése visszaállítja-e a javítás hatásait.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor
- :is
- 000
- 11
- 2020
- 7
- a
- Képes
- Rólunk
- hozzáférés
- tevékenység
- szereplők
- hozzáadott
- További
- Hozzáteszi
- tanács
- Után
- ellen
- Minden termék
- mellett
- már
- elemzés
- elemző
- és a
- Bemutatjuk
- Másik
- app
- Alkalmazás
- alkalmazások
- alkalmaz
- alkalmazások
- április
- VANNAK
- körül
- AS
- Ázsia
- társult
- At
- támadás
- Automatikus
- vissza
- hátsó ajtó
- Alapvetően
- BE
- mert
- hogy
- úgy
- BEST
- Blog
- megsértése
- böngészők
- épít
- üzleti
- by
- hívott
- kéri
- Kampány
- TUD
- eset
- okozó
- vezérigazgató
- bizonyos
- lánc
- Változások
- ellenőrizze
- CISO
- azt állította,
- kód
- közlés
- vállalat
- Veszélyeztetett
- aggodalmak
- megkötött
- Magatartás
- bizalom
- MEGERŐSÍTETT
- tartalmaz
- cryptocurrency
- Jelenleg
- szokás
- Ügyfelek
- cyber
- napi
- sötét
- Sötét olvasmány
- dátum
- döntés
- leírt
- asztali
- részletek
- Fejlesztés
- DID
- digitális
- közvetlenül
- közzététel
- felfedezés
- terjeszteni
- Csepp
- csökkent
- dinamikus
- hatás
- hatások
- titkosított
- vége
- Környezet
- kémkedés
- lényeg
- pontosan
- végrehajtja
- Hasznosított
- külső
- filé
- vezetéknév
- hibája
- A
- talált
- ból ből
- kap
- szerzés
- Giving
- Csoport
- maréknyi
- Legyen
- segít
- elrejt
- Magas
- Hogyan
- HTTPS
- azonosított
- azonnal
- in
- incidens
- fertőzések
- információ
- beavatottak
- telepíteni
- telepítve
- telepítése
- Intelligencia
- kölcsönhatásba
- Internet
- bevezet
- vizsgálja
- Laboratóriumi vizsgálatok eredményei
- kérdés
- Kiadott
- IT
- ITS
- jpg
- Kaspersky
- ismert
- korea
- Lázár
- Lazarus csoport
- szint
- könyvtárak
- mint
- Valószínű
- LINK
- összekapcsolt
- linux
- hosszabb
- MacOS
- készült
- fontos
- csinál
- malware
- kézikönyv
- sok
- március
- jelenti
- közepes
- microsoft
- esetleg
- millió
- Modulok
- pillanat
- több
- többszörös
- Szükség
- igények
- Új
- neves
- Megjegyzések
- szám
- of
- hivatalos
- on
- szervezetek
- OS
- Más
- csomag
- Tapasz
- Foltozás
- PBX
- Pierre
- Plató
- Platón adatintelligencia
- PlatoData
- állás
- elnök
- problémák
- Termékek
- ellátó
- cél
- Olvasás
- nemrég
- elismerik
- engedje
- Számolt
- kérni
- kutató
- kutatók
- Reagálni
- tekercs
- futás
- s
- Mondott
- azonos
- azt mondja,
- biztonság
- idősebb
- Series of
- Szolgáltatások
- számos
- Műsorok
- aláírt
- óta
- helyzetek
- kicsi
- So
- szoftver
- néhány
- Valaki
- valami
- Délkelet-Ázsia
- Hely
- kezdet
- Lépései
- megáll
- szigorúbb
- kínálat
- ellátási lánc
- gyanús
- rendszer
- Systems
- cél
- csapat
- hogy
- A
- azok
- Őket
- ebből adódóan
- fenyegetés
- fenyegetés szereplői
- idő
- nak nek
- Csomagkövetés
- tendencia
- FORDULAT
- Frissítések
- Frissítés
- us
- használ
- használó
- Felhasználók
- gyártók
- Igazolás
- ellenőrzött
- keresztül
- Alelnök
- Áldozat
- sebezhetőség
- Út..
- Mit
- Mi
- vajon
- ami
- lesz
- ablakok
- A windows 11
- val vel
- nélkül
- Munka
- világszerte
- érdemes
- lenne
- zephyrnet