威胁行为者——据信是 Lazarus 集团——最近入侵了 3CX 的 VoIP 桌面应用程序,向该公司的客户分发信息窃取软件,还在少数客户的系统上安装了第二阶段后门。
后门名为“Gopuram”,包含多个模块,威胁行为者可以使用这些模块来窃取数据; 安装额外的恶意软件; 启动、停止和删除服务; 并直接与受害者系统交互。 卡巴斯基研究人员在少数运行受感染版本 3CX DesktopApp 的系统上发现了该恶意软件。
与此同时,一些安全研究人员现在表示,他们的分析表明,威胁行为者可能利用了 10 年前的 Windows 漏洞(CVE-2013-3900).
Gopuram:与 Lazarus 相关的已知后门
卡巴斯基识别出 Gopuram 作为后门,它至少从 2020 年起就一直在跟踪,当时该公司发现它安装在属于东南亚一家加密货币公司的系统上。 研究人员当时发现该后门与另一个名为 AppleJeus 的后门一起安装在系统上,归因于 朝鲜多产的拉撒路集团.
卡巴斯基在 3 月 3 日的博客文章中得出结论,因此,对 3CX 的攻击也很可能是同一组织所为。 卡巴斯基表示:“新的 Gopuram 感染的发现使我们能够将 XNUMXCX 活动归因于 Lazarus 威胁行为者,并具有中等到高度的可信度。”
卡巴斯基研究员 Georgy Kucherin 表示,后门的目的是进行网络间谍活动。 他说,“Gopuram 是攻击者投放的第二阶段有效负载”,用于监视目标组织。
卡巴斯基发现的第二阶段恶意软件为针对 3CX 的攻击增添了另一波麻烦。600,000CX 是一家为 Windows、macOS 和 Linux 系统提供视频会议、PBX 和商业通信应用程序的提供商。 该公司声称,目前全球约有 12 个组织(每日用户超过 3 万)在使用其 XNUMXCX DesktopApp。
供应链的重大妥协
30月3日,XNUMXCX首席执行官Nick Galea和CISO Pierre Jourdan证实, 攻击者已经破坏了某些 Windows 和 macOS 版本 分发恶意软件的软件。 此次披露是在几家安全供应商报告观察到与 3CX DesktopApp 二进制文件的合法签名更新相关的可疑活动之后进行的。
他们的调查显示,一个威胁参与者(现已确定为 Lazarus 组织)已经破坏了应用程序安装包中的两个动态链接库 (DLL),并向其中添加了恶意代码。 武器化应用程序通过 3CX 自动更新和手动更新在用户系统上结束。
一旦进入系统,经过签名的 3CX DesktopApp 就会执行恶意安装程序,然后启动一系列步骤,最终在受感染的系统上安装窃取信息的恶意软件。 多名安全研究人员指出,只有对 3CX 开发或构建环境具有高级别访问权限的攻击者才能将恶意代码引入 DLL 并在不被注意的情况下逃脱。
3CX 已聘请 Mandiant 调查该事件,并表示一旦掌握所有细节,将公布更多具体事件细节。
攻击者利用了已有 10 年历史的 Windows 缺陷
Lazarus Group 显然还使用了一个 10 年前的错误,将恶意代码添加到 Microsoft DLL 中,而不使签名失效。
在其 2103 漏洞披露中,微软将该漏洞描述为让攻击者能够在不使签名无效的情况下将恶意代码添加到已签名的可执行文件中。 该公司针对该问题的更新更改了验证使用 Windows Authenticode 签名的二进制文件的方式。 基本上,该更新确保如果有人对已签名的二进制文件进行更改,Windows 将不再将该二进制文件识别为已签名的。
在当时宣布更新时,微软还将其设为选择性更新,这意味着如果用户担心更严格的签名验证会在可能对安装程序进行自定义更改的情况下导致问题,则无需应用更新。
趋势科技威胁情报副总裁乔恩·克莱 (Jon Clay) 表示:“微软一度不愿正式发布此补丁。” “本质上,这个漏洞所滥用的是文件末尾的暂存器空间。 可以把它想象成一个 cookie 标志,许多应用程序都可以使用它,就像一些互联网浏览器一样。”
赛门铁克威胁猎手团队的高级情报分析师 Brigid O'Gorman 表示,该公司的研究人员确实看到 3CX 攻击者将数据附加到已签名的 Microsoft DLL 的末尾。 “值得注意的是,添加到文件中的是加密数据,需要其他东西才能将其转换为恶意代码,”奥戈尔曼说。 她指出,在这种情况下,3CX 应用程序旁加载 ffmpeg.dll 文件,该文件读取附加到文件末尾的数据,然后将其解密为调用外部命令和控制 (C2) 服务器的代码。
“我认为,目前对组织来说最好的建议是应用 Microsoft 的 CVE-2013-3900 补丁(如果他们还没有这样做的话)”O'Gorman 说。
值得注意的是,当微软首次发布更新时可能已经修补了该漏洞的组织如果拥有 Windows 11,则需要再次修补该漏洞。 Kucherin 和其他研究人员表示,这是因为较新的操作系统消除了修补程序的效果。
“第二阶段 DLL 使用 CVE-2013-3900 来试图隐藏仅检查数字签名有效性的安全应用程序,”Clay 说。 他指出,修补将有助于安全产品标记文件以供分析。
Microsoft 没有立即回应 Dark Reading 请求,要求提供有关其将 CVE-2013-3900 设为选择性更新的决定的信息; 缓解措施; 或者安装 Windows 11 是否会回滚补丁的效果。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor
- :是
- 000
- 11
- 2020
- 7
- a
- Able
- 关于
- ACCESS
- 活动
- 演员
- 添加
- 额外
- 添加
- 忠告
- 后
- 驳
- 所有类型
- 靠
- 已经
- 分析
- 分析人士
- 和
- 宣布
- 另一个
- 应用
- 应用领域
- 应用领域
- 使用
- 应用
- 四月
- 保健
- 围绕
- AS
- 亚洲
- 相关
- At
- 攻击
- 自动表
- 背部
- 后门
- 基本上
- BE
- 因为
- 作为
- 相信
- 最佳
- 博客
- 违反
- 浏览器
- 建立
- 商业
- by
- 被称为
- 呼叫
- 营销活动
- CAN
- 案件
- 造成
- CEO
- 一定
- 链
- 更改
- 查
- CISO
- 声称
- 码
- 沟通
- 公司
- 妥协
- 关注
- 总结
- 进行
- 信心
- CONFIRMED
- 包含
- cryptocurrency
- 目前
- 习俗
- 合作伙伴
- 网络
- 每天
- 黑暗
- 暗读
- data
- 决定
- 描述
- 通过电脑捐款
- 详情
- 研发支持
- DID
- 数字
- 直接
- 泄露
- 发现
- 分发
- 下降
- 下降
- 动态
- 效果
- 影响
- 加密
- 结束
- 环境
- 间谍
- 本质
- 究竟
- 执行
- 剥削
- 外部
- 文件
- (名字)
- 缺陷
- 针对
- 发现
- 止
- 得到
- 越来越
- 给予
- 团队
- 撮
- 有
- 帮助
- 隐藏
- 高
- 创新中心
- HTTPS
- 确定
- 立即
- in
- 事件
- 感染
- 信息
- 同修
- 安装
- 安装
- 安装
- 房源搜索
- 相互作用
- 网络
- 介绍
- 调查
- 调查
- 问题
- 发行
- IT
- 它的
- JPG
- 卡巴斯基
- 已知
- 韩国
- 拉撒路
- 拉撒路集团
- Level
- 库
- 喜欢
- 容易
- 友情链接
- 链接
- Linux的
- 不再
- MacOS的
- 制成
- 主要
- 使
- 恶意软件
- 手册
- 许多
- 三月
- 意
- 中等
- 微软
- 可能
- 百万
- 模块
- 时刻
- 更多
- 多
- 需求
- 需要
- 全新
- 注意到
- 数
- of
- 官方
- on
- 组织
- OS
- 其他名称
- 包
- 打补丁
- 修补
- 交换机
- 皮埃尔
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 帖子
- 总统
- 问题
- 核心产品
- 提供者
- 目的
- 阅读
- 最近
- 承认
- 释放
- 报道
- 请求
- 研究员
- 研究人员
- 回应
- 卷
- 运行
- s
- 说
- 同
- 说
- 保安
- 前辈
- 系列
- 特色服务
- 几个
- 作品
- 签
- 自
- 情况
- 小
- So
- 软件
- 一些
- 有人
- 东西
- 东南亚
- 太空
- 开始
- 步骤
- Stop 停止
- 严格
- 供应
- 供应链
- 可疑
- 系统
- 产品
- 目标
- 团队
- 这
- 其
- 他们
- 因此
- 威胁
- 威胁者
- 次
- 至
- 跟踪
- 趋势
- 转
- 更新
- 最新动态
- us
- 使用
- 用户
- 用户
- 厂商
- 企业验证
- 专利
- 通过
- 副总裁
- 受害者
- 漏洞
- 方法..
- 什么是
- 什么是
- 是否
- 这
- 将
- 窗户
- 11窗口
- 也完全不需要
- 工作
- 全世界
- 价值
- 将
- 和风网
