Haker koji stoji iza napada na lanac opskrbe usmjerenog na 3CX postavio je implantat druge faze posebno izdvajajući mali broj kompanija za kriptovalute.
Ruska firma za kibernetičku bezbjednost Kaspersky, koja interno prati svestrani backdoor pod imenom Gopuram od 2020. godine, saopštila je da je primetila porast broja infekcija u martu 2023. godine koji se poklapa sa probojom 3CX.
Gopuram-ova primarna funkcija je da se poveže sa serverom za komandu i kontrolu (C2) i čeka dalje instrukcije koje omogućavaju napadačima da stupe u interakciju sa sistemom datoteka žrtve, kreiraju procese i pokreću čak osam modula u memoriji.
Veze backdoor-a sa Sjevernom Korejom proizlaze iz činjenice da je “koegzistirao na mašinama za žrtve sa AppleJeus-om, backdoor-om koji se pripisuje korejskom hakeru Lazarus-u” u kojem se detaljno opisuje napad na neimenovanu kripto firmu koja se nalazi u jugoistočnoj Aziji 2020. godine.
Ciljanje kompanija koje se bave kriptovalutama je još jedan znak umiješanosti Lazarus grupe, s obzirom na to da se haker stalno fokusira na finansijsku industriju kako bi stvorio nezakonit profit za naciju pogođenu sankcijama.
Kaspersky je dalje rekao da je identifikovao C2 preklapanje sa serverom („wirexpro[.]com“) za koji je ranije identifikovano da je bio član AppleJeus kampanje koju je Malwarebytes dokumentovao u decembru 2022. godine.
“Kako je Gopuram backdoor raspoređen na manje od deset zaraženih mašina, to ukazuje da su napadači koristili Gopuram sa hirurškom preciznošću” istakla je kompanija, dodajući da su najveće stope infekcije otkrivene u Brazilu, Njemačkoj, Italiji i Francuskoj.
Dok do sada otkriveni lanac napada uključuje upotrebu lažnih instalatera za distribuciju kradljivaca informacija (poznatog kao ICONIC Stealer), najnovija otkrića sugerišu da je krajnji cilj kampanje možda bio zaraziti mete potpunim modularnim backdoor-om.
Međutim, nije poznato koliko je kampanja bila uspješna i da li je dovela do stvarne krađe osjetljivih podataka ili kriptovaluta. To, međutim, otvara mogućnost da je ICONIC Stealer korišten kao izviđački uslužni program za bacanje široke mreže i identifikaciju ciljeva od interesa za daljnju eksploataciju.
Razvoj dolazi kada je BlackBerry otkrio da se “početna faza ove operacije odvijala negdje između kraja ljeta i početka jeseni 2022. godine”.
Većina pokušaja napada, prema kanadskoj kompaniji, registrovana je u Australiji, SAD-u i Velikoj Britaniji, a sektori zdravstva, farmacije, IT-a i finansija pojavljuju se kao najviše ciljani sektori.
Trenutno je nejasno kako je haker dobio početni pristup 3CX mreži i da li je to podrazumijevalo eksploataciju poznate ili nepoznate ranjivosti. Kompromis se prati pod identifikatorom CVE-2023-29059.
Do sada prikupljeni dokazi ukazuju na to da su napadači zatrovali razvojno okruženje 3CX-a i isporučili trojanizovane verzije legitimne aplikacije klijentima kompanije u napadu na lanac opskrbe poput SolarWinds -a ili Kaseye.
Jedna od malicioznih komponenti odgovornih za preuzimanje kradljivaca informacija, biblioteka pod nazivom “d3dcompiler_47.dll”, takođe je primijećena kako koristi 10 godina staru grešku Windows-a (CVE-2013-3900) kako bi ugradio šifrovani shell kod bez poništavanja Microsoftovog potpisa.
Ovdje vrijedi napomenuti da je ista tehnika usvojena u kampanji malicioznog softvera ZLoader koji je otkrila izraelska kompanija za kibernetičku bezbjednost Check Point Research u januaru 2022. godine.
Više verzija aplikacije za desktop računare, 18.12.407 i 18.12.416 za Windows i 18.11.1213, 18.12.402, 18.12.407 i 18.12.416 za macOS je pogođeno. 3CX je od tada prikovao napad na “visoko iskusnog i dobro obrazovanog hakera”.
CrowdStrike je povezao incident sa grupom nacionalne države koja je orijentisana prema Severnoj Koreji koju prati pod imenom Labyrinth Chollima, podgrupom unutar Lazarus grupe.
Izvor: The Hacker News