Ngày 12 tháng 4 năm 2023Ravie Lakshmanan Bảo mật phần mềm / Tấn công mạng
Nhà cung cấp dịch vụ truyền thông doanh nghiệp 3CX đã xác nhận rằng cuộc tấn công chuỗi cung ứng nhắm vào ứng dụng máy tính để bàn của họ dành cho Windows và macOS là thủ công của một kẻ đe dọa có mối liên hệ với Bắc Triều Tiên.
Những phát hiện này là kết quả của một đánh giá tạm thời được thực hiện bởi Mandiant thuộc sở hữu của Google, công ty đã đăng ký các dịch vụ sau khi vụ xâm nhập được đưa ra ánh sáng vào cuối tháng trước. Đơn vị ứng phó sự cố và tình báo mối đe dọa đang theo dõi hoạt động dưới biệt danh chưa được phân loại của nó UNC4736.
Điều đáng chú ý là công ty an ninh mạng CrowdStrike đã quy cuộc tấn công cho một nhóm phụ của Lazarus có tên là Labyrinth Chollima, với lý do chồng chéo chiến thuật.
Chuỗi tấn công, dựa trên các phân tích từ nhiều nhà cung cấp bảo mật, đòi hỏi phải sử dụng các kỹ thuật tải bên DLL để tải một kẻ đánh cắp thông tin có tên là ICONIC Stealer, tiếp theo là giai đoạn thứ hai có tên là Gopuram trong các cuộc tấn công có chọn lọc nhằm vào các công ty tiền điện tử.
Cuộc điều tra pháp y của Mandiant hiện đã tiết lộ rằng các tác nhân đe dọa đã lây nhiễm các hệ thống 3CX bằng phần mềm độc hại có tên mã TAXHAUL được thiết kế để giải mã và tải shellcode có chứa “trình tải xuống phức tạp” có nhãn COLDCAT.
3CX cho biết: “Trên Windows, kẻ tấn công đã sử dụng tải bên DLL để đạt được sự tồn tại lâu dài của phần mềm độc hại TAXHAUL”. “Cơ chế duy trì cũng đảm bảo phần mềm độc hại của kẻ tấn công được tải khi khởi động hệ thống, cho phép kẻ tấn công giữ quyền truy cập từ xa vào hệ thống bị nhiễm qua internet.”
Công ty cho biết thêm rằng DLL độc hại (wlbsctrl.dll) đã được tải bởi dịch vụ Windows IKE và AuthIP IPsec Keying Modules (IKEEXT) thông qua svchost.exe, một quy trình hệ thống hợp pháp.
Các hệ thống macOS được nhắm mục tiêu trong cuộc tấn công được cho là đã được mở cửa sau bằng cách sử dụng một dòng phần mềm độc hại khác có tên là SIMPLESEA, một phần mềm độc hại dựa trên C giao tiếp qua HTTP để chạy các lệnh shell, truyền tệp và cập nhật cấu hình.
Các chủng phần mềm độc hại được phát hiện trong môi trường 3CX đã được quan sát thấy có liên hệ với ít nhất bốn máy chủ chỉ huy và kiểm soát (C2): azureonlinecloud[.]com, akamaicontainer[.]com, tạp chí[.]org và msboxonline[.]com.
Giám đốc điều hành 3CX Nick Galea, trong một bài đăng trên diễn đàn vào tuần trước, cho biết công ty chỉ biết về một “số ít trường hợp” trong đó phần mềm độc hại thực sự được kích hoạt và nó đang hoạt động để “củng cố các chính sách, thực tiễn và công nghệ của chúng tôi để bảo vệ chống lại các cuộc tấn công trong tương lai .” Một ứng dụng cập nhật đã được cung cấp cho khách hàng.
Hiện vẫn chưa xác định được cách thức các tác nhân đe dọa đột nhập vào mạng của 3CX và liệu nó có dẫn đến việc vũ khí hóa một lỗ hổng đã biết hoặc chưa biết hay không. Sự xâm phạm chuỗi cung ứng đang được theo dõi theo số nhận dạng CVE-2023-29059 (điểm CVSS: 7,8).
