Siber Saldırganlar İkinci Aşama Arka Kapı Açtıkça 3CX İhlalleri Genişliyor

Şirketin müşterilerine bilgi çalma yazılımı dağıtmak için yakın zamanda 3CX'in VoIP masaüstü uygulamasını ele geçiren Lazarus Grubu olduğuna inanılan tehdit aktörü, aynı zamanda az sayıdaki sistemlere ikinci aşama bir arka kapı da açtı.

"Gopuram" adı verilen arka kapı, tehdit aktörlerinin veri sızdırmak için kullanabileceği birden fazla modül içeriyor; ek kötü amaçlı yazılım yükleyin; hizmetleri başlatmak, durdurmak ve silmek; ve kurban sistemleriyle doğrudan etkileşime geçin. Kaspersky araştırmacıları, 3CX DesktopApp'ın risk altındaki sürümlerini çalıştıran bir avuç sistemde kötü amaçlı yazılım tespit etti.

Bu arada bazı güvenlik araştırmacıları, analizlerinin tehdit aktörlerinin 10 yıllık bir Windows güvenlik açığından yararlanmış olabileceğini gösterdiğini söylüyor (CVE-2013-3900).

Gopuram: Lazarus'la Bağlantılı Bilinen Arka Kapı

Kaspersky Gopuram'ı belirledi Şirketin Güneydoğu Asya'daki bir kripto para birimi şirketine ait bir sisteme kurulu olduğunu bulduğu en az 2020 yılından bu yana arka kapı olarak takip ediliyor. O dönemdeki araştırmacılar, AppleJeus adlı başka bir arka kapının yanında bir sisteme kurulu arka kapıyı da buldular. Kuzey Kore'nin üretken Lazarus Grubu.

Kaspersky, 3 Nisan'daki bir blog yazısında 3CX'e yapılan saldırının da büyük olasılıkla aynı ekibin işi olduğu sonucuna vardı. Kaspersky, "Yeni Gopuram enfeksiyonlarının keşfi, 3CX kampanyasını orta ila yüksek güvenle Lazarus tehdit aktörüne bağlamamıza olanak sağladı" dedi.

Kaspersky araştırmacısı Georgy Kucherin, arka kapının amacının siber casusluk yapmak olduğunu söylüyor. "Gopuram, saldırganların hedef kuruluşları gözetlemek için bıraktığı ikinci aşama bir yüktür" diyor.

Kaspersky'nin ikinci aşama kötü amaçlı yazılımları keşfetmesi, Windows, macOS ve Linux sistemleri için video konferans, PBX ve iş iletişimi uygulaması sağlayıcısı olan 3CX'e yönelik saldırıya yeni bir boyut daha ekledi. Şirket, dünya çapında yaklaşık 600,000 kuruluşun (günde 12 milyonu aşkın kullanıcıyla) şu anda 3CX DesktopApp'ı kullandığını iddia ediyor.

Büyük Bir Tedarik Zinciri Uzlaşması

30 Mart'ta 3CX CEO'su Nick Galea ve CISO Pierre Jourdan şunları doğruladı: Saldırganlar belirli Windows ve macOS sürümlerini ele geçirdi Kötü amaçlı yazılım dağıtmak için kullanılan yazılım. Açıklama, birkaç güvenlik sağlayıcısının 3CX DesktopApp ikili programının meşru, imzalı güncellemeleriyle ilişkili şüpheli etkinlik gözlemlediğini bildirmesinin ardından geldi.

Araştırmaları, artık Lazarus Grubu olarak tanımlanan bir tehdit aktörünün, uygulamanın yükleme paketindeki iki dinamik bağlantı kitaplığının (DLL) güvenliğini ihlal ettiğini ve bunlara kötü amaçlı kod eklediğini gösterdi. Silah haline getirilmiş uygulamalar, 3CX'ten gelen otomatik güncellemeler ve ayrıca manuel güncellemeler aracılığıyla kullanıcı sistemlerinde sona erdi.

İmzalı 3CX DesktopApp, sisteme girdikten sonra kötü amaçlı yükleyiciyi çalıştırır ve ardından bilgi çalan kötü amaçlı yazılımın tehlikeye giren sisteme yüklenmesiyle sonuçlanan bir dizi adımı başlatır. Çok sayıda güvenlik araştırmacısı, yalnızca 3CX'in geliştirme veya oluşturma ortamına yüksek düzeyde erişime sahip bir saldırganın, DLL'lere kötü amaçlı kod yerleştirebileceğini ve fark edilmeden kaçabileceğini belirtti. 

3CX, olayı araştırması için Mandiant'ı işe aldı ve tüm ayrıntılara sahip olduktan sonra tam olarak ne olduğuna dair daha fazla ayrıntı yayınlayacağını söyledi.

Saldırganlar 10 Yıllık Windows Kusurunu İstismar Etti

Lazarus Group'un ayrıca, imzayı geçersiz kılmadan bir Microsoft DLL dosyasına kötü amaçlı kod eklemek için 10 yıllık bir hata kullandığı da görülüyor. 

Microsoft, 2103 güvenlik açığı açıklamasında bu kusurun, saldırganlara imzayı geçersiz kılmadan imzalı bir yürütülebilir dosyaya kötü amaçlı kod ekleme yolu sağlaması olarak tanımlamıştı. Şirketin soruna yönelik güncellemesi, Windows Authenticode ile imzalanan ikili dosyaların doğrulanma biçimini değiştirdi. Temel olarak güncelleme, birisinin zaten imzalanmış bir ikili dosyada değişiklik yapması durumunda Windows'un ikili dosyayı artık imzalı olarak tanımamasını sağladı.

O zamanlar Microsoft, güncellemeyi duyururken, bunu isteğe bağlı bir güncelleme haline getirdi; bu, kullanıcıların, yükleyicilerde özel değişiklikler yapmış olabilecekleri durumlarda sorunlara neden olan daha katı imza doğrulamasıyla ilgili endişeleri varsa, güncellemeyi uygulamalarına gerek olmadığı anlamına geliyordu. 

Trend Micro'nun tehdit istihbaratından sorumlu başkan yardımcısı Jon Clay, "Microsoft bir süreliğine bu yamayı resmileştirme konusunda isteksizdi" diyor. "Bu güvenlik açığının kötüye kullandığı şey aslında dosyanın sonundaki bir karalama defteri alanıdır. Bunu, bazı İnternet tarayıcıları gibi birçok uygulamanın kullanmasına izin verilen bir çerez bayrağı gibi düşünün."

Symantec'in Tehdit Avcısı ekibinde kıdemli istihbarat analisti Brigid O'Gorman, şirket araştırmacılarının 3CX saldırganlarının imzalı bir Microsoft DLL dosyasının sonuna veri eklediğini gördüklerini söylüyor. O'Gorman, "Dosyaya eklenen şeyin, onu kötü amaçlı koda dönüştürmek için başka bir şeye ihtiyaç duyan şifrelenmiş veriler olduğunu belirtmekte fayda var" diyor. Bu durumda 3CX uygulamasının, dosyanın sonuna eklenen verileri okuyan ve daha sonra harici bir komut ve kontrol (C2) sunucusuna çağrı yapan koda şifresini çözen ffmpeg.dll dosyasını dışarıdan yüklediğini belirtiyor.

O'Gorman, "Şu anda kuruluşlar için en iyi tavsiyenin, henüz yapmamışlarsa Microsoft'un CVE-2013-3900 yamasını uygulamak olacağını düşünüyorum" diyor.

Özellikle, Microsoft ilk kez bir güncelleme yayınladığında güvenlik açığını yamalamış olabilecek kuruluşların, Windows 11'e sahip olmaları durumunda bunu tekrar yapmaları gerekecek. Kucherin ve diğer araştırmacılar, bunun nedeninin yeni işletim sisteminin yamanın etkisini ortadan kaldırması olduğunu söylüyor.

Clay, "CVE-2013-3900, geçerlilik açısından yalnızca dijital imzayı kontrol eden güvenlik uygulamalarından gizlenmek amacıyla ikinci aşama DLL tarafından kullanıldı" diyor. Yama uygulamasının, güvenlik ürünlerinin dosyayı analiz için işaretlemesine yardımcı olacağını belirtti.

Microsoft, CVE-2013-3900'ü isteğe bağlı bir güncelleme haline getirme kararıyla ilgili bilgi almak amacıyla Dark Reading talebine hemen yanıt vermedi; hafifletmeler; veya Windows 11 kurulumunun yamanın etkilerini geri alıp almadığı.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• Plato blok zinciri. Web3 Metaverse Zekası. Bilgi Güçlendirildi. Buradan Erişin.
• Kaynak: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor