Aktor cyberprzestępczy — uważany za Grupę Lazarus — który ostatnio włamał się do aplikacji komputerowej 3CX VoIP w celu dystrybucji oprogramowania do kradzieży informacji wśród klientów firmy, upuścił również backdoora drugiego stopnia w systemach należących do niewielkiej ich liczby.
Backdoor o nazwie „Gopuram” zawiera wiele modułów, których cyberprzestępcy mogą używać do eksfiltracji danych; zainstalować dodatkowe złośliwe oprogramowanie; uruchamiać, zatrzymywać i usuwać usługi; i wchodzić w bezpośrednie interakcje z systemami ofiar. Badacze z firmy Kaspersky wykryli szkodliwe oprogramowanie na kilku systemach, na których działały zainfekowane wersje 3CX DesktopApp.
Tymczasem niektórzy badacze bezpieczeństwa twierdzą teraz, że ich analiza pokazuje, że cyberprzestępcy mogli wykorzystać istniejącą od 10 lat lukę w systemie Windows (CVE-2013-3900).
Gopuram: znany backdoor powiązany z Lazarusem
Kaspersky zidentyfikował Gopurama jako backdoor jest śledzony od co najmniej 2020 r., kiedy firma znalazła go zainstalowanego w systemie należącym do firmy kryptowalutowej w Azji Południowo-Wschodniej. Badacze w tym czasie znaleźli backdoora zainstalowanego w systemie obok innego backdoora o nazwie AppleJeus, przypisanego do Płodna północnokoreańska grupa Lazarus.
W poście na blogu z 3 kwietnia Kaspersky doszedł do wniosku, że atak na 3CX był zatem bardzo prawdopodobnym dziełem tego samego zespołu. „Odkrycie nowych infekcji Gopuram pozwoliło nam przypisać kampanię 3CX ugrupowaniu Lazarus ze średnim lub wysokim prawdopodobieństwem” — powiedział Kaspersky.
Badacz firmy Kaspersky, Georgy Kucherin, twierdzi, że celem backdoora jest prowadzenie cyberszpiegostwa. „Gopuram to ładunek drugiego stopnia zrzucony przez atakujących” w celu szpiegowania docelowych organizacji, mówi.
Odkrycie drugiego etapu szkodliwego oprogramowania przez firmę Kaspersky dodaje kolejną zmarszczkę do ataku na firmę 3CX, dostawcę aplikacji do wideokonferencji, PBX i komunikacji biznesowej dla systemów Windows, macOS i Linux. Firma twierdzi, że około 600,000 12 organizacji na całym świecie — z ponad 3 milionami użytkowników dziennie — korzysta obecnie z aplikacji XNUMXCX DesktopApp.
Poważny kompromis w łańcuchu dostaw
30 marca dyrektor generalny 3CX Nick Galea i CISO Pierre Jourdan potwierdzili to osoby atakujące złamały zabezpieczenia niektórych wersji systemów Windows i macOS oprogramowania do dystrybucji złośliwego oprogramowania. Ujawnienie nastąpiło po tym, jak kilku dostawców zabezpieczeń zgłosiło zaobserwowanie podejrzanej aktywności związanej z legalnymi, podpisanymi aktualizacjami pliku binarnego 3CX DesktopApp.
Ich dochodzenie wykazało, że ugrupowanie cyberprzestępcze — obecnie zidentyfikowane jako Grupa Lazarus — włamało się do dwóch bibliotek dołączanych dynamicznie (DLL) w pakiecie instalacyjnym aplikacji, dodając do nich złośliwy kod. Zbrojne aplikacje zakończyły się w systemach użytkowników dzięki automatycznym aktualizacjom 3CX, a także ręcznym aktualizacjom.
W systemie podpisana aplikacja 3CX DesktopApp uruchamia złośliwego instalatora, który następnie inicjuje serię kroków, które kończą się instalacją złośliwego oprogramowania kradnącego informacje w zaatakowanym systemie. Wielu badaczy bezpieczeństwa zauważyło, że tylko osoba atakująca z wysokim poziomem dostępu do środowiska programistycznego lub kompilacyjnego 3CX byłaby w stanie wprowadzić złośliwy kod do bibliotek DLL i uciec niezauważona.
3CX zatrudnił Mandiant do zbadania incydentu i powiedział, że ujawni więcej szczegółów na temat tego, co dokładnie się wydarzyło, gdy tylko będzie miał wszystkie szczegóły.
Atakujący wykorzystali 10-letnią lukę w systemie Windows
Grupa Lazarus najwyraźniej wykorzystała 10-letni błąd, aby dodać złośliwy kod do biblioteki DLL firmy Microsoft bez unieważniania podpisu.
W ujawnieniu luki w zabezpieczeniach 2103 Microsoft opisał lukę jako umożliwiającą atakującym dodanie złośliwego kodu do podpisanego pliku wykonywalnego bez unieważniania podpisu. Aktualizacja firmy dotycząca tego problemu zmieniła sposób weryfikacji plików binarnych podpisanych za pomocą Windows Authenticode. Zasadniczo aktualizacja zapewniała, że jeśli ktoś wprowadzi zmiany w już podpisanym pliku binarnym, system Windows nie będzie już rozpoznawał pliku binarnego jako podpisanego.
Ogłaszając wówczas aktualizację, Microsoft uczynił ją również aktualizacją opcjonalną, co oznacza, że użytkownicy nie musieli stosować aktualizacji, jeśli mieli obawy dotyczące bardziej rygorystycznej weryfikacji podpisu, powodującej problemy w sytuacjach, w których mogli wprowadzić niestandardowe zmiany w instalatorach.
„Microsoft był przez pewien czas niechętny oficjalnemu opublikowaniu tej poprawki” — mówi Jon Clay, wiceprezes ds. analizy zagrożeń w firmie Trend Micro. „To, co jest nadużywane przez tę lukę, to miejsce na notatnik na końcu pliku. Pomyśl o tym jak o fladze plików cookie, z której może korzystać wiele aplikacji, na przykład niektóre przeglądarki internetowe”.
Brigid O'Gorman, starszy analityk wywiadu w zespole Threat Hunter firmy Symantec, twierdzi, że badacze firmy widzieli, jak osoby atakujące 3CX dołączają dane na końcu podpisanej biblioteki DLL firmy Microsoft. „Warto zauważyć, że do pliku dodawane są zaszyfrowane dane, które potrzebują czegoś innego, aby przekształcić je w złośliwy kod” — mówi O'Gorman. W tym przypadku aplikacja 3CX ładuje plik ffmpeg.dll, który odczytuje dane dołączone na końcu pliku, a następnie odszyfrowuje je do kodu, który wywołuje zewnętrzny serwer dowodzenia i kontroli (C2).
„Myślę, że najlepszą radą dla organizacji w tej chwili byłoby zastosowanie poprawki Microsoftu dla luki CVE-2013-3900, jeśli jeszcze tego nie zrobiły” — mówi O'Gorman.
Warto zauważyć, że organizacje, które mogły załatać lukę, gdy Microsoft po raz pierwszy wydał aktualizację, musiałyby to zrobić ponownie, jeśli mają system Windows 11. To dlatego, że nowszy system operacyjny cofnął efekt łatki, twierdzą Kucherin i inni badacze.
„CVE-2013-3900 został użyty przez bibliotekę DLL drugiego etapu w celu ukrycia się przed aplikacjami zabezpieczającymi, które sprawdzają jedynie podpis cyfrowy pod kątem ważności” — mówi Clay. Zauważa, że łatanie pomogłoby produktom zabezpieczającym oznaczyć plik do analizy.
Firma Microsoft nie odpowiedziała natychmiast na prośbę Dark Reading o informacje dotyczące jej decyzji o uczynieniu CVE-2013-3900 aktualizacją dobrowolną; środki łagodzące; lub czy zainstalowanie systemu Windows 11 cofa efekty poprawki.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor
- :Jest
- 000
- 11
- 2020
- 7
- a
- Zdolny
- O nas
- dostęp
- działalność
- aktorzy
- w dodatku
- Dodatkowy
- Dodaje
- Rada
- Po
- przed
- Wszystkie kategorie
- wzdłuż
- już
- analiza
- analityk
- i
- Ogłaszając
- Inne
- Aplikacja
- Zastosowanie
- aplikacje
- Aplikuj
- mobilne i webowe
- kwiecień
- SĄ
- na około
- AS
- Azja
- powiązany
- At
- atakować
- automatycznie
- z powrotem
- tylne drzwi
- Gruntownie
- BE
- bo
- jest
- Uważa
- BEST
- Blog
- naruszenie
- przeglądarki
- budować
- biznes
- by
- nazywa
- Połączenia
- Kampania
- CAN
- walizka
- spowodowanie
- ceo
- pewien
- łańcuch
- Zmiany
- ZOBACZ
- CISO
- twierdził,
- kod
- Komunikacja
- sukcesy firma
- Zagrożone
- Obawy
- zawarta
- Prowadzenie
- pewność siebie
- ZATWARDZIAŁY
- zawiera
- kryptowaluta
- Obecnie
- zwyczaj
- Klientów
- cyber
- codziennie
- Ciemny
- Mroczne czytanie
- dane
- decyzja
- opisane
- stacjonarny
- detale
- oprogramowania
- ZROBIŁ
- cyfrowy
- bezpośrednio
- ujawnienie
- odkrycie
- rozprowadzać
- Spadek
- porzucone
- dynamiczny
- efekt
- ruchomości
- szyfrowane
- kończy się
- Środowisko
- szpiegostwo
- istota
- dokładnie
- Wykonuje
- eksploatowany
- zewnętrzny
- filet
- i terminów, a
- wada
- W razie zamówieenia projektu
- znaleziono
- od
- otrzymać
- miejsce
- Dający
- Zarządzanie
- garstka
- Have
- pomoc
- Ukryj
- Wysoki
- W jaki sposób
- HTTPS
- zidentyfikowane
- natychmiast
- in
- incydent
- Infekcje
- Informacja
- Inicjuje
- zainstalować
- zainstalowany
- Instalacja
- Inteligencja
- interakcji
- Internet
- przedstawiać
- badać
- Dochodzenia
- problem
- Wydany
- IT
- JEGO
- jpg
- Kaspersky
- znany
- Korea
- Łazarz
- Grupa Lazarus
- poziom
- biblioteki
- lubić
- Prawdopodobnie
- LINK
- powiązany
- linux
- dłużej
- MacOS
- zrobiony
- poważny
- robić
- malware
- podręcznik
- wiele
- March
- znaczenie
- średni
- Microsoft
- może
- milion
- Moduły
- moment
- jeszcze
- wielokrotność
- Potrzebować
- wymagania
- Nowości
- zauważyć
- Uwagi
- numer
- of
- urzędnik
- on
- organizacji
- OS
- Inne
- pakiet
- Łata
- łatanie
- PBX
- Pierre
- plato
- Analiza danych Platona
- PlatoDane
- Post
- prezydent
- problemy
- Produkty
- dostawca
- cel
- Czytający
- niedawno
- rozpoznać
- zwolnić
- Zgłoszone
- zażądać
- badacz
- Badacze
- Odpowiadać
- rolki
- bieganie
- s
- Powiedział
- taki sam
- mówią
- bezpieczeństwo
- senior
- Serie
- Usługi
- kilka
- Targi
- podpisana
- ponieważ
- sytuacje
- mały
- So
- Tworzenie
- kilka
- Ktoś
- coś
- Azja Południowo-Wschodnia
- Typ przestrzeni
- początek
- Cel
- Stop
- surowsze
- Dostawa
- łańcuch dostaw
- podejrzliwy
- system
- systemy
- cel
- zespół
- że
- Połączenia
- ich
- Im
- w związku z tym
- groźba
- podmioty grożące
- czas
- do
- Śledzenie
- Trend
- SKRĘCAĆ
- Aktualizacja
- Nowości
- us
- posługiwać się
- Użytkownik
- Użytkownicy
- sprzedawców
- Weryfikacja
- zweryfikowana
- przez
- Wiceprezes
- Ofiara
- wrażliwość
- Droga..
- Co
- Co to jest
- czy
- który
- będzie
- okna
- Okna 11
- w
- bez
- Praca
- na calym swiecie
- wartość
- by
- zefirnet
