Investigasi atas serangan rantai pasokan 3CX bulan lalu menemukan bahwa itu disebabkan oleh kompromi rantai pasokan lain di mana tersangka penyerang Korea Utara menerobos situs perusahaan otomasi perdagangan saham Trading Technologies untuk mendorong pembangunan perangkat lunak trojan.
“Kami menduga ada sejumlah organisasi yang belum tahu bahwa mereka telah disusupi,” kata CTO Mandiant Consulting Charles Carmakal kepada BleepingComputer.
“Kami berharap setelah kami mengeluarkan informasi ini, ini akan membantu mempercepat proses bagi perusahaan untuk menentukan bahwa mereka disusupi dan menahan insiden mereka.”
Pemasang berbahaya untuk perangkat lunak X_TRADER Trading Technologies menggunakan VEILEDSIGNAL pintu belakang modular multi-tahap yang dirancang untuk mengeksekusi kode shell, menyuntikkan modul komunikasi ke dalam proses Chrome, Firefox, atau Edge, dan menghentikan dirinya sendiri.
Menurut Mandiant, firma keamanan siber yang membantu 3CX menyelidiki insiden tersebut, grup ancaman (dilacak sebagai UNC4736) menggunakan kredensial yang diambil untuk bergerak secara lateral melalui jaringan 3CX, yang pada akhirnya melanggar lingkungan pembuatan Windows dan macOS.
“Di lingkungan build Windows, penyerang menggunakan peluncur TAXHAUL dan pengunduh COLDCAT yang bertahan dengan melakukan pembajakan DLL untuk layanan IKEEXT dan berjalan dengan hak istimewa LocalSystem,” kata Mandiant.
“Server build macOS dikompromikan dengan pintu belakang POOLRAT menggunakan LaunchDaemons sebagai mekanisme persistensi.”
Malware mencapai kegigihan melalui pemuatan samping DLL melalui binari Microsoft Windows yang sah, yang membuatnya lebih sulit untuk dideteksi.
Itu juga dimuat secara otomatis saat start-up, memberikan penyerang akses jarak jauh ke semua perangkat yang disusupi melalui internet.
Tautan ke Operasi AppleJeus
Mandiant mengatakan UNC4736 terkait dengan latar belakang Grup Lazarus Korea Utara yang termotivasi secara finansial Operasi AppleJeus [1, 2, 3]yang juga dikaitkan oleh Grup Analisis Ancaman (TAG) Google untuk menyusup ke www.tradingtechnologies[.] com dalam laporan dari Maret 2022.
Berdasarkan tumpang tindih infrastruktur, perusahaan keamanan siber juga menghubungkan UNC4736 dengan dua kelompok APT43 yang diduga aktivitas berbahaya, dilacak sebagai UNC3782 dan UNC4469.
“Kami menentukan UNC4736 ditautkan ke operator Korea Utara yang sama berdasarkan aplikasi X_TRADER yang di-Trojan, didistribusikan melalui situs yang dikompromikan yang sama yang disebutkan di blog TAG,” kata Fred Plan, Mandiant Principal Analyst untuk Google Cloud, kepada BleepingComputer.
“Ini, dikombinasikan dengan kesamaan dalam TTP, dan tumpang tindih pada infrastruktur lain, memberi kami keyakinan moderat bahwa operator ini terikat bersama.”
Serangan rantai pasokan 3CX
Pada 29 Maret, 3CX mengakui bahwa klien desktop berbasis Electron, 3CXDesktopApp, telah disusupi untuk mendistribusikan malware, satu hari setelahnya. berita tentang serangan rantai pasokan muncul
Butuh 3CX lebih dari seminggu untuk bereaksi terhadap laporan pelanggan bahwa perangkat lunaknya telah diidentifikasi berbahaya oleh beberapa perusahaan keamanan siber, termasuk CrowdStrike, ESET, Palo Alto Networks, SentinelOne, dan SonicWall.
Nick Galea, CEO perusahaan, juga dikatakan setelah pengungkapan serangan bahwa biner ffmpeg yang digunakan oleh klien desktop 3CX mungkin merupakan vektor intrusi awal. Namun, FFmpeg ditolak Tuduhan Galea, mengatakan bahwa itu hanya menyediakan kode sumber yang belum dikompromikan.
3CX pelanggan yang disarankan untuk mencopot klien desktop Electron dari semua perangkat Windows dan macOS (skrip pencopotan massal dapat ditemukan Di Sini) dan segera beralih ke aplikasi web progresif (PWA) Aplikasi Klien Web menyediakan fitur serupa.
Menanggapi pengungkapan 3CX, tim peneliti keamanan dibuat alat berbasis web untuk membantu pelanggan perusahaan dalam menentukan apakah alamat IP mereka berpotensi terkena dampak oleh serangan rantai pasokan Maret 2023.
Menurut situs web resmi perusahaan, Sistem Telepon 3CX memiliki lebih dari 12 juta pengguna setiap hari dan digunakan oleh lebih dari 600.000 bisnis secara global, termasuk organisasi dan perusahaan terkenal seperti American Express, Coca-Cola, McDonald’s, Air France, IKEA, Layanan Kesehatan Nasional Inggris, dan beberapa pembuat mobil.
“Kompromi rantai pasokan perangkat lunak yang teridentifikasi adalah yang pertama kami sadari yang telah menyebabkan kompromi rantai pasokan perangkat lunak tambahan,” kata Mandiant.
“Ini menunjukkan potensi jangkauan kompromi jenis ini, terutama ketika aktor ancaman dapat menyusup seperti yang ditunjukkan dalam penyelidikan ini.”
