Pelaku ancaman — diyakini sebagai Grup Lazarus — yang baru-baru ini mengkompromikan aplikasi desktop VoIP 3CX untuk mendistribusikan perangkat lunak pencuri informasi kepada pelanggan perusahaan juga telah menjatuhkan pintu belakang tahap kedua pada sistem milik sejumlah kecil dari mereka.
Pintu belakang, yang disebut “Gopuram,” berisi beberapa modul yang dapat digunakan oleh pelaku ancaman untuk mengekstraksi data; pasang malware tambahan; memulai, menghentikan, dan menghapus layanan; dan berinteraksi langsung dengan sistem korban. Peneliti dari Kaspersky menemukan malware di beberapa sistem yang menjalankan versi 3CX DesktopApp yang telah disusupi.
Sementara itu, beberapa peneliti keamanan sekarang mengatakan bahwa analisis mereka menunjukkan pelaku ancaman mungkin telah mengeksploitasi kerentanan Windows berusia 10 tahun (CVE-2013-3900).
Gopuram: Dikenal Backdoor Terhubung ke Lazarus
Kaspersky mengidentifikasi Gopuram sebagai pintu belakang telah dilacak setidaknya sejak tahun 2020 ketika perusahaan menemukannya terpasang pada sistem milik perusahaan cryptocurrency di Asia Tenggara. Para peneliti saat itu menemukan pintu belakang dipasang pada sistem di samping pintu belakang lain yang disebut AppleJeus, dikaitkan dengan Kelompok Lazarus yang produktif di Korea Utara.
Dalam posting blog pada 3 April, Kaspersky menyimpulkan bahwa serangan terhadap 3CX, oleh karena itu, kemungkinan besar juga merupakan karya dari pakaian yang sama. “Penemuan infeksi Gopuram baru memungkinkan kami mengaitkan kampanye 3CX dengan aktor ancaman Lazarus dengan tingkat kepercayaan sedang hingga tinggi,” kata Kaspersky.
Peneliti Kaspersky Georgy Kucherin mengatakan tujuan dari pintu belakang adalah untuk melakukan spionase dunia maya. “Gopuram adalah muatan tahap kedua yang dijatuhkan oleh penyerang” untuk memata-matai organisasi target, katanya.
Penemuan malware tahap kedua Kaspersky menambah kerutan lain pada serangan terhadap 3CX, penyedia konferensi video, PBX, dan aplikasi komunikasi bisnis untuk sistem Windows, macOS, dan Linux. Perusahaan telah mengklaim bahwa sekitar 600,000 organisasi di seluruh dunia — dengan lebih dari 12 juta pengguna harian — saat ini menggunakan 3CX DesktopApp.
Kompromi Rantai Pasokan Utama
Pada 30 Maret, CEO 3CX Nick Galea dan CISO Pierre Jourdan mengonfirmasi hal itu penyerang telah mengkompromikan versi Windows dan macOS tertentu perangkat lunak untuk mendistribusikan malware. Pengungkapan itu muncul setelah beberapa vendor keamanan melaporkan mengamati aktivitas mencurigakan yang terkait dengan pembaruan yang sah dan ditandatangani dari biner 3CX DesktopApp.
Investigasi mereka menunjukkan bahwa aktor ancaman — sekarang diidentifikasi sebagai Grup Lazarus — telah mengkompromikan dua pustaka tautan dinamis (DLL) dalam paket instalasi aplikasi menambahkan kode berbahaya kepada mereka. Aplikasi yang dipersenjatai berakhir pada sistem pengguna melalui pembaruan otomatis dari 3CX dan juga melalui pembaruan manual.
Begitu berada di sistem, 3CX DesktopApp yang ditandatangani mengeksekusi penginstal jahat, yang kemudian memulai serangkaian langkah yang diakhiri dengan malware pencuri informasi yang diinstal pada sistem yang disusupi. Beberapa peneliti keamanan telah mencatat bahwa hanya penyerang dengan akses tingkat tinggi ke lingkungan pengembangan atau pembangunan 3CX yang dapat memperkenalkan kode berbahaya ke DLL dan lolos tanpa diketahui.
3CX telah menyewa Mandiant untuk menyelidiki insiden tersebut dan mengatakan akan merilis lebih banyak detail tentang apa yang sebenarnya terjadi setelah memiliki semua detailnya.
Penyerang Mengeksploitasi Cacat Windows Berusia 10 Tahun
Grup Lazarus juga tampaknya menggunakan bug berusia 10 tahun untuk menambahkan kode berbahaya ke Microsoft DLL tanpa membatalkan tanda tangannya.
Dalam pengungkapan kerentanan 2103-nya, Microsoft telah menggambarkan kelemahan tersebut sebagai memberi penyerang cara untuk menambahkan kode berbahaya ke file yang dapat dieksekusi tanpa membatalkan tanda tangan. Pembaruan perusahaan untuk masalah ini mengubah cara verifikasi biner yang ditandatangani dengan Windows Authenticode. Pada dasarnya, pembaruan memastikan bahwa jika seseorang membuat perubahan pada biner yang sudah ditandatangani, Windows tidak akan lagi mengenali biner tersebut sebagai yang ditandatangani.
Saat mengumumkan pembaruan saat itu, Microsoft juga menjadikannya pembaruan keikutsertaan, yang berarti pengguna tidak perlu menerapkan pembaruan jika mereka khawatir tentang verifikasi tanda tangan yang lebih ketat yang menyebabkan masalah dalam situasi di mana mereka mungkin telah membuat perubahan khusus pada penginstal.
“Microsoft enggan, untuk sementara waktu, untuk meresmikan tambalan ini,” kata Jon Clay, wakil presiden intelijen ancaman di Trend Micro. “Apa yang disalahgunakan oleh kerentanan ini, pada dasarnya, adalah ruang awal di akhir file. Anggap saja seperti bendera cookie yang diizinkan untuk digunakan oleh banyak aplikasi, seperti beberapa browser Internet.
Brigid O'Gorman, analis intelijen senior dengan tim Pemburu Ancaman Symantec, mengatakan para peneliti perusahaan memang melihat penyerang 3CX menambahkan data ke akhir Microsoft DLL yang ditandatangani. “Perlu dicatat bahwa yang ditambahkan ke file adalah data terenkripsi yang membutuhkan sesuatu yang lain untuk mengubahnya menjadi kode berbahaya,” kata O'Gorman. Dalam hal ini, aplikasi 3CX melakukan sideload file ffmpeg.dll, yang membaca data yang ditambahkan ke akhir file dan kemudian mendekripsinya menjadi kode yang memanggil server perintah-dan-kontrol (C2) eksternal, catatnya.
“Menurut saya, saran terbaik untuk organisasi saat ini adalah menerapkan tambalan Microsoft untuk CVE-2013-3900 jika mereka belum melakukannya,” kata O'Gorman.
Khususnya, organisasi yang mungkin telah menambal kerentanan ketika Microsoft pertama kali mengeluarkan pembaruan untuk itu perlu melakukannya lagi jika mereka memiliki Windows 11. Itu karena OS yang lebih baru menghilangkan efek tambalan, kata Kucherin dan peneliti lainnya.
"CVE-2013-3900 digunakan oleh DLL tahap kedua dalam upaya untuk bersembunyi dari aplikasi keamanan yang hanya memeriksa validitas tanda tangan digital," kata Clay. Menambal akan membantu produk keamanan menandai file untuk dianalisis, catatnya.
Microsoft tidak segera menanggapi permintaan Dark Reading untuk informasi seputar keputusannya untuk membuat CVE-2013-3900 sebagai pembaruan keikutsertaan; mitigasi; atau apakah menginstal Windows 11 mengembalikan efek tambalan.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor
- :adalah
- 000
- 11
- 2020
- 7
- a
- Sanggup
- Tentang Kami
- mengakses
- kegiatan
- aktor
- menambahkan
- Tambahan
- Menambahkan
- nasihat
- Setelah
- terhadap
- Semua
- di samping
- sudah
- analisis
- analis
- dan
- Mengumumkan
- Lain
- aplikasi
- Aplikasi
- aplikasi
- Mendaftar
- aplikasi
- April
- ADALAH
- sekitar
- AS
- Asia
- terkait
- At
- menyerang
- secara otomatis
- kembali
- pintu belakang
- Pada dasarnya
- BE
- karena
- makhluk
- diyakini
- TERBAIK
- Blog
- pelanggaran
- browser
- membangun
- bisnis
- by
- bernama
- Panggilan
- Kampanye
- CAN
- kasus
- menyebabkan
- ceo
- tertentu
- rantai
- Perubahan
- memeriksa
- CISO
- diklaim
- kode
- Komunikasi
- perusahaan
- Dikompromikan
- Kekhawatiran
- Disimpulkan
- Mengadakan
- kepercayaan
- DIKONFIRMASI
- mengandung
- cryptocurrency
- Sekarang
- adat
- pelanggan
- maya
- harian
- gelap
- Bacaan gelap
- data
- keputusan
- dijelaskan
- Desktop
- rincian
- Pengembangan
- MELAKUKAN
- digital
- langsung
- penyingkapan
- penemuan
- mendistribusikan
- Menjatuhkan
- menjatuhkan
- dinamis
- efek
- efek
- terenkripsi
- berakhir
- Lingkungan Hidup
- spionase
- esensi
- persis
- Laksanakan
- dieksploitasi
- luar
- File
- Pertama
- cacat
- Untuk
- ditemukan
- dari
- mendapatkan
- mendapatkan
- Pemberian
- Kelompok
- segenggam
- Memiliki
- membantu
- menyembunyikan
- High
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- diidentifikasi
- segera
- in
- insiden
- infeksi
- informasi
- Inisiat
- install
- diinstal
- Instalasi
- Intelijen
- berinteraksi
- Internet
- memperkenalkan
- menyelidiki
- Investigasi
- isu
- Ditempatkan
- IT
- NYA
- jpg
- Kaspersky
- dikenal
- Korea
- Lazarus
- Grup Lazarus
- Tingkat
- perpustakaan
- 'like'
- Mungkin
- LINK
- terkait
- linux
- lagi
- macos
- terbuat
- utama
- membuat
- malware
- panduan
- banyak
- March
- makna
- medium
- Microsoft
- mungkin
- juta
- Modul
- saat
- lebih
- beberapa
- Perlu
- kebutuhan
- New
- terkenal
- Catatan
- jumlah
- of
- resmi
- on
- organisasi
- OS
- Lainnya
- paket
- tambalan
- Menambal
- PBX
- Pierre
- plato
- Kecerdasan Data Plato
- Data Plato
- Pos
- presiden
- masalah
- Produk
- pemberi
- tujuan
- Bacaan
- baru-baru ini
- mengenali
- melepaskan
- Dilaporkan
- permintaan
- peneliti
- peneliti
- Menanggapi
- gulungan
- berjalan
- s
- Tersebut
- sama
- mengatakan
- keamanan
- senior
- Seri
- Layanan
- beberapa
- Pertunjukkan
- tertanda
- sejak
- situasi
- kecil
- So
- Perangkat lunak
- beberapa
- Seseorang
- sesuatu
- Asia Tenggara
- Space
- awal
- Tangga
- berhenti
- lebih ketat
- menyediakan
- supply chain
- mencurigakan
- sistem
- sistem
- target
- tim
- bahwa
- Grafik
- mereka
- Mereka
- karena itu
- ancaman
- aktor ancaman
- waktu
- untuk
- Pelacakan
- kecenderungan
- MENGHIDUPKAN
- Memperbarui
- Pembaruan
- us
- menggunakan
- Pengguna
- Pengguna
- vendor
- Verifikasi
- diverifikasi
- melalui
- Wakil Presiden
- Korban
- kerentanan
- Cara..
- Apa
- Apa itu
- apakah
- yang
- akan
- Windows
- jendela 11
- dengan
- tanpa
- Kerja
- industri udang di seluruh dunia.
- bernilai
- akan
- zephyrnet.dll
