De bedreigingsactor - vermoedelijk de Lazarus Group - die onlangs de VoIP-desktoptoepassing van 3CX heeft gecompromitteerd om software voor het stelen van informatie te verspreiden onder de klanten van het bedrijf, heeft ook een backdoor in de tweede fase laten vallen op systemen van een klein aantal van hen.
De achterdeur, genaamd "Gopuram", bevat meerdere modules die de bedreigingsactoren kunnen gebruiken om gegevens te exfiltreren; extra malware installeren; services starten, stoppen en verwijderen; en rechtstreeks communiceren met slachtoffersystemen. Onderzoekers van Kaspersky zagen de malware op een handvol systemen met gecompromitteerde versies van 3CX DesktopApp.
Ondertussen zeggen sommige beveiligingsonderzoekers nu dat uit hun analyse blijkt dat de bedreigingsactoren mogelijk misbruik hebben gemaakt van een 10 jaar oude Windows-kwetsbaarheid (CVE-2013-3900).
Gopuram: bekende achterdeur gekoppeld aan Lazarus
Kaspersky identificeerde Gopuram als achterdeur wordt het gevolgd sinds ten minste 2020, toen het bedrijf ontdekte dat het was geïnstalleerd op een systeem van een cryptocurrency-bedrijf in Zuidoost-Azië. De onderzoekers vonden destijds de achterdeur geïnstalleerd op een systeem naast een andere achterdeur genaamd AppleJeus, toegeschreven aan Noord-Korea's productieve Lazarus Group.
In een blogpost van 3 april concludeerde Kaspersky dat de aanval op 3CX dus ook zeer waarschijnlijk het werk was van dezelfde outfit. "Door de ontdekking van de nieuwe Gopuram-infecties konden we de 3CX-campagne met een gemiddeld tot hoog vertrouwen toeschrijven aan de Lazarus-dreigingsacteur", aldus Kaspersky.
Kaspersky-onderzoeker Georgy Kucherin zegt dat het doel van de achterdeur is om cyberspionage uit te voeren. "Gopuram is een payload van de tweede fase die door de aanvallers is gedropt" om doelorganisaties te bespioneren, zegt hij.
Kaspersky's ontdekking van malware in de tweede fase voegt nog een rimpel toe aan de aanval op 3CX, een leverancier van videoconferenties, PBX en zakelijke communicatie-app voor Windows-, macOS- en Linux-systemen. Het bedrijf beweert dat zo'n 600,000 organisaties wereldwijd - met meer dan 12 miljoen dagelijkse gebruikers - momenteel de 3CX DesktopApp gebruiken.
Een belangrijk compromis in de toeleveringsketen
Op 30 maart bevestigden 3CX-CEO Nick Galea en CISO Pierre Jourdan dat aanvallers hadden bepaalde Windows- en macOS-versies gecompromitteerd van de software om malware te verspreiden. De onthulling kwam nadat verschillende beveiligingsleveranciers meldden dat ze verdachte activiteiten hadden waargenomen die verband hielden met legitieme, ondertekende updates van het 3CX DesktopApp-binaire bestand.
Hun onderzoek toonde aan dat een bedreigingsactor — nu geïdentificeerd als de Lazarus Group — twee dynamic link libraries (DLL's) in het installatiepakket van de applicatie had gecompromitteerd en er kwaadaardige code aan had toegevoegd. De bewapende apps eindigden op gebruikerssystemen via automatische updates van 3CX en ook via handmatige updates.
Eenmaal op een systeem voert de ondertekende 3CX DesktopApp het kwaadwillende installatieprogramma uit, dat vervolgens een reeks stappen initieert die eindigen met het installeren van malware die informatie steelt op het gecompromitteerde systeem. Meerdere beveiligingsonderzoekers hebben opgemerkt dat alleen een aanvaller met een hoog toegangsniveau tot de ontwikkel- of bouwomgeving van 3CX in staat zou zijn geweest om kwaadaardige code in de DLL's te introduceren en onopgemerkt weg te komen.
3CX heeft Mandiant ingehuurd om het incident te onderzoeken en heeft gezegd dat het meer details zal vrijgeven over wat er precies is gebeurd zodra het alle details heeft.
Aanvallers maakten misbruik van een 10 jaar oude Windows-fout
Lazarus Group gebruikte blijkbaar ook een 10 jaar oude bug om kwaadaardige code toe te voegen aan een Microsoft DLL zonder de handtekening ongeldig te maken.
In de openbaarmaking van de 2103-kwetsbaarheid had Microsoft beschreven dat de fout aanvallers een manier bood om kwaadaardige code toe te voegen aan een ondertekend uitvoerbaar bestand zonder de handtekening ongeldig te maken. De update van het bedrijf voor het probleem heeft de manier gewijzigd waarop binaire bestanden die zijn ondertekend met Windows Authenticode, worden geverifieerd. Kortom, de update zorgde ervoor dat als iemand wijzigingen aanbracht in een reeds ondertekend binair bestand, Windows het binaire bestand niet langer als ondertekend zou herkennen.
Door de update destijds aan te kondigen, maakte Microsoft er ook een opt-in-update van, wat betekent dat gebruikers de update niet hoefden toe te passen als ze zich zorgen maakten over de strengere handtekeningverificatie die problemen veroorzaakte in situaties waarin ze mogelijk aangepaste wijzigingen in installatieprogramma's hadden aangebracht.
"Microsoft aarzelde enige tijd om deze patch officieel te maken", zegt Jon Clay, vice-president van bedreigingsinformatie bij Trend Micro. “Wat door deze kwetsbaarheid wordt misbruikt, is in wezen een kladblokruimte aan het einde van het bestand. Zie het als een cookie-vlag die veel applicaties mogen gebruiken, zoals sommige internetbrowsers.
Brigid O'Gorman, senior inlichtingenanalist bij het Threat Hunter-team van Symantec, zegt dat de onderzoekers van het bedrijf hebben gezien dat de 3CX-aanvallers gegevens toevoegden aan het einde van een ondertekende Microsoft DLL. "Het is vermeldenswaard dat wat aan het bestand wordt toegevoegd, versleutelde gegevens zijn die iets anders nodig hebben om er schadelijke code van te maken", zegt O'Gorman. In dit geval sideloadt de 3CX-applicatie het ffmpeg.dll-bestand, dat de gegevens leest die aan het einde van het bestand zijn toegevoegd en deze vervolgens decodeert in code die wordt opgeroepen naar een externe command-and-control (C2)-server, merkt ze op.
"Ik denk dat het beste advies voor organisaties op dit moment zou zijn om Microsoft's patch voor CVE-2013-3900 toe te passen als ze dat nog niet hebben gedaan", zegt O'Gorman.
Met name organisaties die de kwetsbaarheid mogelijk hebben gepatcht toen Microsoft er voor het eerst een update voor uitbracht, zouden dit opnieuw moeten doen als ze Windows 11 hebben. Dat komt omdat het nieuwere besturingssysteem het effect van de patch ongedaan maakte, zeggen Kucherin en andere onderzoekers.
"CVE-2013-3900 werd gebruikt door de tweede-traps DLL in een poging zich te verbergen voor beveiligingstoepassingen die alleen de geldigheid controleren aan de hand van een digitale handtekening", zegt Clay. Patching zou beveiligingsproducten helpen het bestand te markeren voor analyse, merkt hij op.
Microsoft reageerde niet onmiddellijk op een Dark Reading-verzoek om informatie over zijn beslissing om van CVE-2013-3900 een opt-in-update te maken; verzachtingen; of dat het installeren van Windows 11 de effecten van de patch ongedaan maakt.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor
- :is
- 000
- 11
- 2020
- 7
- a
- in staat
- Over
- toegang
- activiteit
- actoren
- toegevoegd
- Extra
- Voegt
- advies
- Na
- tegen
- Alles
- naast
- al
- analyse
- analist
- en
- Het aankondigen
- Nog een
- gebruiken
- Aanvraag
- toepassingen
- Solliciteer
- apps
- April
- ZIJN
- rond
- AS
- Azië
- geassocieerd
- At
- aanvallen
- Automatisch
- terug
- achterdeur
- Eigenlijk
- BE
- omdat
- wezen
- geloofde
- BEST
- Blog
- overtreding
- browsers
- bouw
- bedrijfsdeskundigen
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- oproepen
- Campagne
- CAN
- geval
- veroorzakend
- ceo
- zeker
- keten
- Wijzigingen
- controle
- CISO
- beweerde
- code
- Communicatie
- afstand
- Aangetast
- Zorgen
- gesloten
- Gedrag
- vertrouwen
- BEVESTIGD
- bevat
- cryptogeld
- Op dit moment
- gewoonte
- Klanten
- cyber
- dagelijks
- Donker
- Donkere lezing
- gegevens
- beslissing
- beschreven
- desktop
- gegevens
- Ontwikkeling
- DEED
- digitaal
- direct
- onthulling
- ontdekking
- verdelen
- Val
- liet vallen
- dynamisch
- effect
- duurt
- versleutelde
- eindigt
- Milieu
- spionage
- essentie
- precies
- Voert uit
- Exploited
- extern
- Dien in
- Voornaam*
- fout
- Voor
- gevonden
- oppompen van
- krijgen
- het krijgen van
- Vrijgevigheid
- Groep
- handvol
- Hebben
- hulp
- Verbergen
- Hoge
- Hoe
- HTTPS
- geïdentificeerd
- per direct
- in
- incident
- infecties
- informatie
- ingewijden
- installeren
- geïnstalleerd
- installeren
- Intelligentie
- interactie
- Internet
- voorstellen
- onderzoeken
- onderzoeken
- kwestie
- Uitgegeven
- IT
- HAAR
- jpg
- Kaspersky
- bekend
- Korea
- Lazarus
- Lazarus Group
- Niveau
- bibliotheken
- als
- Waarschijnlijk
- LINK
- gekoppeld
- linux
- langer
- macos
- gemaakt
- groot
- maken
- malware
- handboek
- veel
- Maart
- betekenis
- Medium
- Microsoft
- macht
- miljoen
- Modules
- moment
- meer
- meervoudig
- Noodzaak
- behoeften
- New
- bekend
- Opmerkingen
- aantal
- of
- officieel
- on
- organisaties
- OS
- Overige
- pakket
- Patch
- patchen
- PBX
- Pierre
- Plato
- Plato gegevensintelligentie
- PlatoData
- Post
- president
- problemen
- Producten
- leverancier
- doel
- lezing
- onlangs
- herkennen
- los
- gemeld
- te vragen
- onderzoeker
- onderzoekers
- Reageren
- rollen
- lopend
- s
- Zei
- dezelfde
- zegt
- veiligheid
- senior
- -Series
- Diensten
- verscheidene
- Shows
- Gesigneerd
- sinds
- situaties
- Klein
- So
- Software
- sommige
- Iemand
- iets
- Zuidoost-Azië
- Tussenruimte
- begin
- Stappen
- stop
- striktere
- leveren
- toeleveringsketen
- verdacht
- system
- Systems
- doelwit
- team
- dat
- De
- hun
- Ze
- daarom
- bedreiging
- bedreigingsactoren
- niet de tijd of
- naar
- Tracking
- trend
- BEURT
- bijwerken
- updates
- us
- .
- Gebruiker
- gebruikers
- vendors
- Verificatie
- geverifieerd
- via
- Vice President
- Slachtoffer
- kwetsbaarheid
- Manier..
- Wat
- Wat is
- of
- welke
- wil
- ruiten
- Windows 11
- Met
- zonder
- Mijn werk
- wereldwijd
- waard
- zou
- zephyrnet
