Злам 3CX розширюється, оскільки кібератаки скидають бекдор другого рівня

Актор загрози — як вважається Lazarus Group — який нещодавно скомпрометував настільну програму 3CX VoIP для розповсюдження програмного забезпечення для крадіжки інформації клієнтам компанії, також скинув бекдор другого етапу на системи, що належать невеликій кількості з них.

Бекдор під назвою «Gopuram» містить кілька модулів, які зловмисники можуть використовувати для викрадання даних; встановити додаткові шкідливі програми; запускати, зупиняти та видаляти служби; і безпосередньо взаємодіяти з жертвами систем. Дослідники Kaspersky виявили зловмисне програмне забезпечення на кількох системах, на яких запущено скомпрометовані версії 3CX DesktopApp.

Тим часом деякі дослідники безпеки тепер кажуть, що їхній аналіз показує, що зловмисники могли використати вразливість Windows 10-річної давності (CVE-2013-3900).

Гопурам: відомий бекдор, пов’язаний з Лазарем

Касперський ідентифікував Гопурам як бекдор, він відстежувався щонайменше з 2020 року, коли компанія виявила, що він встановлений у системі, що належить криптовалютній компанії в Південно-Східній Азії. У той час дослідники виявили бекдор, встановлений у системі поряд з іншим бекдором під назвою AppleJeus, який приписується Північнокорейська група Lazarus Group.

У дописі в блозі від 3 квітня Касперський дійшов висновку, що атака на 3CX також, ймовірно, була справою тієї ж організації. «Виявлення нових заражень Gopuram дозволило нам із середньою або високою достовірністю віднести кампанію 3CX до загрози Lazarus», — сказав Касперський.

Дослідник Kaspersky Георгій Кучерін каже, що метою бекдору є кібершпигунство. «Гопурам — це корисне навантаження другого ступеня, скинуте зловмисниками» для шпигування за цільовими організаціями, каже він.

Виявлення Касперським зловмисного програмного забезпечення другого етапу додає ще одну складність атаці на 3CX, постачальника відеоконференцій, АТС і додатків для бізнес-комунікації для систем Windows, macOS і Linux. Компанія стверджує, що близько 600,000 12 організацій по всьому світу — з понад 3 мільйонами щоденних користувачів — наразі використовують її XNUMXCX DesktopApp.

Основний компроміс у ланцюзі поставок

30 березня генеральний директор 3CX Нік Галеа та CISO П’єр Журдан підтвердили, що зловмисники зламали певні версії Windows і macOS програмного забезпечення для розповсюдження шкідливих програм. Це стало відомо після того, як кілька постачальників засобів безпеки повідомили про підозрілу активність, пов’язану з законними підписаними оновленнями двійкового файлу 3CX DesktopApp.

Їхні розслідування показали, що зловмисник, який тепер ідентифікований як Lazarus Group, скомпрометував дві бібліотеки динамічного компонування (DLL) у пакеті встановлення програми, додавши до них шкідливий код. Збройні програми припинили роботу в системах користувачів через автоматичні оновлення від 3CX, а також через оновлення вручну.

Опинившись у системі, підписаний 3CX DesktopApp запускає шкідливий інсталятор, який потім ініціює серію кроків, які завершуються встановленням шкідливого програмного забезпечення, що викрадає інформацію, у скомпрометованій системі. Численні дослідники безпеки відзначили, що лише зловмисник із високим рівнем доступу до середовища розробки чи збірки 3CX міг би ввести шкідливий код у бібліотеки DLL і піти непоміченим. 

3CX найняла Mandiant для розслідування інциденту та заявила, що оприлюднить більше подробиць про те, що саме сталося, коли отримає всі подробиці.

Зловмисники скористалися дефектом Windows 10-річної давності

Lazarus Group також, очевидно, використовувала помилку 10-річної давнини, щоб додати шкідливий код до DLL Microsoft, не роблячи підпис недійсним. 

У своєму розкритті вразливості 2103 Microsoft описала недолік як такий, що дає зловмисникам можливість додати шкідливий код до підписаного виконуваного файлу, не роблячи підпис недійсним. Оновлення компанії щодо проблеми змінило спосіб перевірки двійкових файлів, підписаних Windows Authenticode. По суті, оновлення гарантувало, що якщо хтось змінить уже підписаний двійковий файл, Windows більше не розпізнаватиме двійковий файл як підписаний.

Оголошуючи оновлення тоді, Microsoft також зробила його оновленням за бажанням, тобто користувачам не потрібно було застосовувати оновлення, якщо вони були занепокоєні тим, що суворіша перевірка підпису може спричинити проблеми в ситуаціях, коли вони могли внести спеціальні зміни до інсталяторів. 

«Деякий час Microsoft не хотіла оприлюднювати цей патч офіційно», — каже Джон Клей, віце-президент відділу аналізу загроз у Trend Micro. «Ця вразливість, по суті, зловживає блокнотом у кінці файлу. Подумайте про це як про позначку cookie, яку дозволено використовувати багатьом програмам, як-от деяким Інтернет-браузерам».

Брігід О'Горман, старший аналітик з розвідки команди Symantec Threat Hunter, каже, що дослідники компанії бачили, як зловмисники 3CX додавали дані в кінець підписаної Microsoft DLL. «Варто зауважити, що до файлу додаються зашифровані дані, які потребують ще чогось, щоб перетворити їх на шкідливий код», — говорить О'Горман. У цьому випадку програма 3CX завантажує файл ffmpeg.dll, який зчитує дані, додані в кінець файлу, а потім розшифровує їх у код, який звертається до зовнішнього командно-контрольного (C2) сервера, зазначає вона.

«Я вважаю, що найкращою порадою для організацій на даний момент було б застосувати виправлення Microsoft для CVE-2013-3900, якщо вони цього ще не зробили», — каже О'Горман.

Зокрема, організаціям, які могли виправити вразливість, коли Microsoft вперше випустила оновлення для неї, доведеться зробити це знову, якщо вони мають Windows 11. Кучерін та інші дослідники кажуть, що це тому, що новіша ОС скасувала ефект виправлення.

«CVE-2013-3900 використовувався другою стадією DLL у спробі приховати від додатків безпеки, які перевіряють лише цифровий підпис на дійсність», — каже Клей. Виправлення допоможе продуктам безпеки позначити файл для аналізу, зазначає він.

Корпорація Майкрософт не відповіла негайно на запит Dark Reading щодо інформації про своє рішення зробити CVE-2013-3900 оновленням, яке можна замовити; пом'якшення; або чи інсталяція Windows 11 скасовує ефекти виправлення.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor