Ngày 22 tháng 4 năm 2023Ravie LakshmananChuỗi cung ứng / Mối đe dọa mạng
Lazarus, nhóm tin tặc nổi tiếng của Bắc Triều Tiên đứng sau cuộc tấn công chuỗi cung ứng nhắm vào 3CX, cũng đã xâm phạm hai tổ chức cơ sở hạ tầng quan trọng trong lĩnh vực điện và năng lượng và hai doanh nghiệp khác tham gia giao dịch tài chính bằng cách sử dụng ứng dụng X_TRADER bị trojan hóa.
Những phát hiện mới, được cung cấp bởi Nhóm Threat Hunter của Symantec, xác nhận những nghi ngờ trước đó rằng việc thỏa hiệp ứng dụng X_TRADER đã ảnh hưởng đến nhiều tổ chức hơn 3CX. Tên của các tổ chức không được tiết lộ.
Eric Chien, giám đốc phản ứng bảo mật tại Symantec thuộc sở hữu của Broadcom, nói với The Hacker News trong một tuyên bố rằng các cuộc tấn công diễn ra từ tháng 9 năm 2022 đến tháng 11 năm 2022.
“Tác động của những vụ lây nhiễm này hiện chưa rõ – cần phải điều tra thêm và đang tiếp tục,” Chien nói, đồng thời cho biết thêm có thể “có nhiều khả năng câu chuyện này và thậm chí có thể các gói khác bị trojan hóa.”
Sự phát triển diễn ra khi Mandiant tiết lộ rằng sự xâm phạm của phần mềm ứng dụng máy tính để bàn 3CX vào tháng trước được tạo điều kiện bởi một vi phạm chuỗi cung ứng phần mềm khác nhắm mục tiêu X_TRADER vào năm 2022, mà một nhân viên đã tải xuống máy tính cá nhân của họ.
Hiện tại vẫn chưa rõ bằng cách nào UNC4736, một diễn viên liên kết của Bắc Triều Tiên, đã can thiệp vào X_TRADER, một phần mềm giao dịch được phát triển bởi một công ty có tên là Trading Technologies. Mặc dù dịch vụ đã ngừng hoạt động vào tháng 4 năm 2020, nhưng nó vẫn có sẵn để tải xuống trên trang web của công ty gần đây như năm ngoái.
Cuộc điều tra của Mandiant đã tiết lộ rằng cửa hậu (được đặt tên là VEILEDSIGNAL) được đưa vào ứng dụng X_TRADER bị hỏng cho phép kẻ thù truy cập vào máy tính của nhân viên và hút thông tin đăng nhập của họ, sau đó sử dụng cửa hậu này để xâm phạm mạng của 3CX, di chuyển ngang và xâm phạm Windows và môi trường xây dựng macOS để chèn mã độc.
Cuộc tấn công liên kết rộng lớn dường như có sự trùng lặp đáng kể với các nhóm và chiến dịch liên kết với Triều Tiên trước đây đã nhắm mục tiêu vào các công ty tiền điện tử trong lịch sử và tiến hành các cuộc tấn công có động cơ tài chính.
Công ty con của Google Cloud đã đánh giá với “độ tin cậy vừa phải” rằng hoạt động này được liên kết với AppleJeus, một chiến dịch dai dẳng nhắm vào các công ty tiền điện tử để đánh cắp tài chính. Công ty an ninh mạng CrowdStrike trước đây đã quy kết cuộc tấn công cho một cụm Lazarus mà họ gọi là Labyrinth Chollima.
Nhóm đối thủ tương tự trước đây đã được Nhóm phân tích mối đe dọa của Google (TAG) liên kết với trang web của Trading Technologies vào tháng 2 năm 2022 để phục vụ một bộ công cụ khai thác tận dụng lỗ hổng zero-day trong trình duyệt web Chrome.
ESET, trong một phân tích về một chiến dịch khác nhau của Nhóm Lazarus, đã tiết lộ một phần mềm độc hại dựa trên Linux mới có tên SimplexTea chia sẻ cùng một cơ sở hạ tầng mạng được xác định là được sử dụng bởi UNC4736, mở rộng thêm bằng chứng hiện có rằng vụ tấn công 3CX là do mối đe dọa từ Bắc Triều Tiên dàn dựng diễn viên.
“[Mandiant's] nhà nghiên cứu phần mềm độc hại ESET Marc-Etienne M.Léveillé nói với The Tin tặc.
Sự thỏa hiệp của ứng dụng X_TRADER ám chỉ thêm động cơ tài chính của những kẻ tấn công. Lazarus (còn được gọi là HIDDEN COBRA) là một thuật ngữ chung để chỉ tập hợp của một số nhóm nhỏ có trụ sở tại Bắc Triều Tiên tham gia vào các hoạt động gián điệp và tội phạm mạng thay mặt cho Vương quốc Ẩn sĩ và trốn tránh các lệnh trừng phạt quốc tế.
Việc Symantec phá vỡ chuỗi lây nhiễm chứng thực việc triển khai cửa sau mô-đun VEILEDSIGNAL, mô-đun này cũng kết hợp một mô-đun chèn quy trình có thể được đưa vào các trình duyệt web Chrome, Firefox hoặc Edge. Về phần mình, mô-đun này chứa thư viện liên kết động (DLL) kết nối với trang web của Công nghệ Thương mại để ra lệnh và kiểm soát (C2).
Symantec kết luận: “Việc phát hiện ra rằng 3CX đã bị xâm phạm bởi một cuộc tấn công chuỗi cung ứng khác trước đó khiến rất có khả năng các tổ chức khác sẽ bị ảnh hưởng bởi chiến dịch này, chiến dịch hiện có phạm vi rộng hơn nhiều so với dự đoán ban đầu”.
