Ngày 04 tháng 4 năm 2023Ravie Lakshmanan Tiền điện tử / Tấn công mạng
Kẻ thù đằng sau cuộc tấn công chuỗi cung ứng nhắm vào 3CX đã triển khai một bộ cấy ghép giai đoạn hai, đặc biệt nhắm vào một số ít công ty tiền điện tử.
Công ty an ninh mạng Kaspersky của Nga đã theo dõi nội bộ cửa hậu đa năng dưới tên Gopuram kể từ năm 2020, cho biết họ đã quan sát thấy sự gia tăng số ca lây nhiễm vào tháng 3 năm 2023 trùng với vụ vi phạm 3CX.
Chức năng chính của Gopuram là kết nối với máy chủ chỉ huy và kiểm soát (C2) và chờ các hướng dẫn tiếp theo cho phép kẻ tấn công tương tác với hệ thống tệp của nạn nhân, tạo quy trình và khởi chạy tối đa tám mô-đun trong bộ nhớ.
Các liên kết của cửa hậu với Triều Tiên xuất phát từ thực tế là nó “cùng tồn tại trên các máy nạn nhân với AppleJeus, một cửa hậu được cho là của kẻ đe dọa nói tiếng Hàn Lazarus”, mô tả chi tiết một cuộc tấn công vào một công ty tiền điện tử giấu tên ở Đông Nam Á vào năm 2020.
Việc nhắm mục tiêu vào các công ty tiền điện tử là một dấu hiệu nhận biết khác về sự tham gia của Tập đoàn Lazarus, do kẻ đe dọa tập trung định kỳ vào ngành tài chính để tạo ra lợi nhuận bất hợp pháp cho quốc gia bị trừng phạt.
Kaspersky cho biết thêm họ đã xác định được sự trùng lặp C2 với một máy chủ (“wirexpro[.]com”) trước đây được xác định là được sử dụng trong chiến dịch AppleJeus được Malwarebytes ghi lại vào tháng 12 năm 2022.
“Vì cửa hậu Gopuram đã được triển khai cho ít hơn mười máy bị nhiễm, điều đó cho thấy những kẻ tấn công đã sử dụng Gopuram với độ chính xác phẫu thuật”, công ty chỉ ra và cho biết thêm tỷ lệ lây nhiễm cao nhất đã được phát hiện ở Brazil, Đức, Ý và Pháp.
Mặc dù chuỗi tấn công được phát hiện cho đến nay đòi hỏi phải sử dụng các trình cài đặt giả mạo để phân phối một phần mềm đánh cắp thông tin (được gọi là ICONIC Stealer), những phát hiện mới nhất cho thấy mục tiêu cuối cùng của chiến dịch có thể là lây nhiễm các mục tiêu bằng cửa hậu mô-đun chính thức.
Điều đó nói rằng, không biết chiến dịch đã thành công như thế nào và liệu nó có dẫn đến hành vi trộm cắp dữ liệu nhạy cảm hoặc tiền điện tử thực sự hay không. Tuy nhiên, nó làm tăng khả năng ICONIC Stealer đã được sử dụng như một tiện ích do thám để tạo ra một mạng lưới rộng lớn và xác định các mục tiêu quan tâm để khai thác tiếp theo.
Sự phát triển diễn ra khi BlackBerry tiết lộ rằng “giai đoạn đầu của hoạt động này diễn ra vào khoảng từ cuối mùa hè đến đầu mùa thu năm 2022.”
Phần lớn các nỗ lực tấn công, theo công ty Canada, đã được đăng ký tại Úc, Hoa Kỳ và Vương quốc Anh, với chăm sóc sức khỏe, dược phẩm, CNTT và tài chính đang nổi lên như những lĩnh vực được nhắm mục tiêu hàng đầu.
Hiện tại vẫn chưa rõ bằng cách nào mà kẻ đe dọa có được quyền truy cập ban đầu vào mạng 3CX và liệu nó có dẫn đến việc khai thác một lỗ hổng đã biết hoặc chưa biết hay không. Sự xâm phạm đang được theo dõi dưới mã định danh CVE-2023-29059.
Bằng chứng được thu thập cho đến nay chỉ ra rằng những kẻ tấn công đã đầu độc môi trường phát triển của 3CX và phân phối các phiên bản trojan của ứng dụng hợp pháp cho các khách hàng cuối nguồn của công ty trong một cuộc tấn công chuỗi cung ứng giống như SolarWinds hoặc Kaseya.
Một trong những thành phần độc hại chịu trách nhiệm truy xuất trình đánh cắp thông tin, một thư viện có tên “d3dcompiler_47.dll”, cũng đã được phát hiện vũ khí hóa một lỗ hổng 10 năm tuổi của Windows (CVE-2013-3900) để kết hợp mã shell được mã hóa mà không làm mất hiệu lực Microsoft của nó. -ban hành chữ ký.
Một điểm đáng chú ý ở đây là kỹ thuật tương tự đã được áp dụng trong chiến dịch phần mềm độc hại ZLoader do công ty an ninh mạng Check Point Research của Israel khai quật vào tháng 1 năm 2022.
Nhiều phiên bản của ứng dụng dành cho máy tính để bàn – 18.12.407 và 18.12.416 cho Windows và 18.11.1213, 18.12.402, 18.12.407 và 18.12.416 cho macOS – đã bị ảnh hưởng. Kể từ đó, 3CX đã xác định cuộc tấn công là do một “hacker có kinh nghiệm và hiểu biết cao”.
CrowdStrike đã liên kết vụ việc với một nhóm nhà nước quốc gia liên kết với Bắc Triều Tiên mà nó theo dõi dưới biệt danh Labyrinth Chollima, một cụm phụ trong Nhóm Lazarus.
