사이버 공격자가 3단계 백도어를 떨어뜨리면서 XNUMXCX 위반 범위 확대

Lazarus Group으로 추정되는 위협 행위자는 최근 3CX의 VoIP 데스크톱 애플리케이션을 손상시켜 회사 고객에게 정보를 훔치는 소프트웨어를 배포했으며 소수의 시스템에 XNUMX단계 백도어를 설치했습니다.

"Gopuram"이라고 하는 백도어에는 위협 행위자가 데이터를 유출하는 데 사용할 수 있는 여러 모듈이 포함되어 있습니다. 추가 멀웨어 설치 서비스 시작, 중지 및 삭제 피해자 시스템과 직접 상호 작용합니다. Kaspersky의 연구원들은 손상된 버전의 3CX DesktopApp을 실행하는 소수의 시스템에서 악성코드를 발견했습니다.

한편, 일부 보안 연구원들은 그들의 분석 결과 공격자들이 10년 된 Windows 취약점을 악용했을 수 있다는 것을 보여주고 있습니다.CVE-2013-3900).

Gopuram: Lazarus와 연결된 알려진 백도어

Kaspersky는 Gopuram을 식별했습니다. 백도어로 동남아시아의 암호화폐 회사에 속한 시스템에 설치된 것을 발견한 최소 2020년부터 추적해 왔습니다. 당시 연구원들은 AppleJeus라는 또 다른 백도어와 함께 시스템에 설치된 백도어를 발견했습니다. 북한의 다작 라자로 그룹.

3월 3일 블로그 게시물에서 Kaspersky는 3CX에 대한 공격이 동일한 조직의 작업일 가능성이 매우 높다고 결론지었습니다. Kaspersky는 "새로운 Gopuram 감염의 발견으로 우리는 XNUMXCX 캠페인이 Lazarus 위협 행위자에 의한 것이라고 확신할 수 있었습니다."라고 Kaspersky는 말했습니다.

Kaspersky 연구원인 Georgy Kucherin은 백도어의 목적이 사이버 스파이 활동을 수행하는 것이라고 밝혔습니다. "Gopuram은 공격자가 대상 조직을 감시하기 위해 떨어뜨리는 XNUMX단계 페이로드"라고 그는 말합니다.

Kaspersky의 3단계 맬웨어 발견은 Windows, macOS 및 Linux 시스템용 화상 회의, PBX 및 비즈니스 통신 앱 제공업체인 600,000CX에 대한 공격에 또 다른 주름을 추가합니다. 이 회사는 현재 전 세계적으로 약 12개 조직(일일 사용자 3만 명 이상)이 XNUMXCX DesktopApp을 사용하고 있다고 주장했습니다.

주요 공급망 손상

30월 3일 XNUMXCX CEO Nick Galea와 CISO Pierre Jourdan은 다음과 같이 확인했습니다. 공격자는 특정 Windows 및 macOS 버전을 손상시켰습니다. 맬웨어를 배포하는 소프트웨어의 이 공개는 여러 보안 공급업체가 3CX DesktopApp 바이너리의 합법적이고 서명된 업데이트와 관련된 의심스러운 활동을 관찰했다고 보고한 후에 이루어졌습니다.

그들의 조사에 따르면 위협 ​​행위자(현재 Lazarus Group으로 식별됨)는 애플리케이션의 설치 패키지에 있는 두 개의 DLL(동적 링크 라이브러리)에 악성 코드를 추가하여 손상시켰습니다. 무기화된 앱은 3CX의 자동 업데이트와 수동 업데이트를 통해 사용자 시스템에서 종료되었습니다.

서명된 3CX DesktopApp이 시스템에 설치되면 악성 설치 프로그램을 실행한 다음 정보를 훔치는 악성 코드가 손상된 시스템에 설치되는 일련의 단계를 시작합니다. 여러 보안 연구원들은 3CX의 개발 또는 빌드 환경에 대한 높은 수준의 액세스 권한을 가진 공격자만이 DLL에 악성 코드를 도입하고 눈에 띄지 않게 빠져나갈 수 있었다고 지적했습니다. 

3CX는 이 사건을 조사하기 위해 Mandiant를 고용했으며 모든 세부 정보가 확보되면 정확히 발생한 일에 대한 자세한 내용을 공개할 것이라고 말했습니다.

공격자가 10년 된 Windows 결함을 악용했습니다.

Lazarus Group은 또한 10년 된 버그를 사용하여 서명을 무효화하지 않고 Microsoft DLL에 악성 코드를 추가한 것으로 보입니다. 

2103 취약점 공개에서 Microsoft는 이 결함이 공격자에게 서명을 무효화하지 않고 서명된 실행 파일에 악성 코드를 추가할 수 있는 방법을 제공한다고 설명했습니다. 이 문제에 대한 회사의 업데이트는 Windows Authenticode로 서명된 바이너리가 확인되는 방식을 변경했습니다. 기본적으로 이 업데이트는 누군가가 이미 서명된 바이너리를 변경하면 Windows가 더 이상 서명된 바이너리를 인식하지 못하도록 했습니다.

그 당시 업데이트를 발표하면서 Microsoft는 업데이트를 옵트인 업데이트로 만들었습니다. 즉, 사용자가 설치 프로그램을 사용자 지정 변경했을 수 있는 상황에서 문제를 일으키는 더 엄격한 서명 확인에 대한 우려가 있는 경우 업데이트를 적용할 필요가 없었습니다. 

Trend Micro의 위협 인텔리전스 부사장인 Jon Clay는 "Microsoft는 한동안 이 패치를 공식화하는 것을 꺼렸습니다."라고 말했습니다. “본질적으로 이 취약점에 의해 악용되는 것은 파일 끝에 있는 스크래치 패드 공간입니다. 일부 인터넷 브라우저와 같이 많은 응용 프로그램에서 사용할 수 있도록 허용된 쿠키 플래그라고 생각하십시오.”

시만텍 Threat Hunter 팀의 수석 인텔리전스 분석가인 Brigid O'Gorman은 시만텍 연구원들이 3CX 공격자가 서명된 Microsoft DLL 끝에 데이터를 추가하는 것을 목격했다고 밝혔습니다. O'Gorman은 "파일에 추가되는 것은 악성 코드로 전환하기 위해 다른 것이 필요한 암호화된 데이터라는 점에 주목할 가치가 있습니다."라고 말했습니다. 이 경우 3CX 애플리케이션은 ffmpeg.dll 파일을 사이드로드합니다. 이 파일은 파일 끝에 추가된 데이터를 읽은 다음 외부 명령 및 제어(C2) 서버를 호출하는 코드로 해독합니다.

O'Gorman은 "현재 조직에 대한 최선의 조언은 Microsoft의 CVE-2013-3900 패치를 아직 적용하지 않은 경우 적용하는 것입니다."라고 말했습니다.

특히 Microsoft가 처음 업데이트를 발표했을 때 취약점을 패치했을 수 있는 조직은 Windows 11이 있는 경우 다시 패치해야 합니다. Kucherin과 다른 연구원들은 최신 OS가 패치의 효과를 없애기 때문이라고 말합니다.

"CVE-2013-3900은 디지털 서명에 대해서만 유효성을 확인하는 보안 애플리케이션으로부터 숨기기 위해 XNUMX단계 DLL에서 사용되었습니다."라고 Clay는 말합니다. 패치는 보안 제품이 분석을 위해 파일에 플래그를 지정하는 데 도움이 될 것이라고 그는 지적합니다.

Microsoft는 CVE-2013-3900을 옵트인 업데이트로 만들기로 한 결정에 대한 정보에 대한 Dark Reading 요청에 즉시 응답하지 않았습니다. 완화; 또는 Windows 11을 설치하면 패치 효과가 롤백되는지 여부.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor