Provajder korporativnih komunikacijskih usluga 3CX potvrdio je da je napad na lanac nabavke usmjeren na njegovu desktop aplikaciju za Windows i macOS djelo hakera sa sjevernokorejskim nexusom.
Nalazi su rezultat privremene procjene koju je proveo Mandiant u vlasništvu Google-a, čije su usluge uključene nakon što je upad izašao na vidjelo krajem prošlog mjeseca. Jedinica za obavještavanje o pretnjama i odgovor na incidente prati aktivnost pod svojim nekategorisanim imenom UNC4736.
Vrijedi napomenuti da je kompanija za kibernetičku bezbjednost CrowdStrike pripisala napad Lazarus podgrupi nazvanoj Labyrinth Chollima, navodeći taktička preklapanja.
Lanac napada, zasnovan na analizama od više dobavljača bezbjednosti, podrazumijevao je korištenje tehnika bočnog učitavanja DLL-a za učitavanje kradljivaca informacija poznatog kao ICONIC Stealer, nakon čega je uslijedila druga faza pod nazivom Gopuram u selektivnim napadima usmjerenim na kripto kompanije.
Mandiant-ova forenzička istraga je sada otkrila da su hakeri zarazili 3CX sisteme malverom kodnog imena TAXHAUL koji je dizajniran da dešifruje i učitava shellcode koji sadrži “složeni program za preuzimanje” označen kao COLDCAT.
“Na Windows-u, napadač je koristio DLL bočno učitavanje kako bi postigao postojanost za TAXHAUL malver” rekao je 3CX. “Mehanizam postojanosti takođe osigurava da se maliciozni softver napadača učita pri pokretanju sistema, omogućavajući napadaču da zadrži daljinski pristup zaraženom sistemu preko interneta.”
Kompanija je dalje rekla da je maliciozni DLL (wlbsctrl.dll) učitan od strane Windows IKE i AuthIP IPsec Keying Modules (IKEEXT) usluge preko svchost.exe, legitimnog sistemskog procesa.
Rečeno je da su macOS sistemi koji su ciljani u napadu bili zaštićeni drugim vrstama malicioznog softvera koji se naziva SIMPLESEA, softvera baziranog na C-u koji komunicira putem HTTP-a za pokretanje shell komandi, prenos datoteka i ažuriranje konfiguracija.
Zapaženo je da sojevi malicioznog softvera otkriveni u 3CX okruženju kontaktiraju najmanje četiri servera za komandu i kontrolu (C2): azureonlinecloud[.]com, akamaicontainer[.]com, journalide[.]org i msboxonline[.]com.
Izvršni direktor 3CX Nick Galea, u postu na forumu prošle sedmice, rekao je da je kompanija upoznata samo sa “šačicom slučajeva” u kojima je maliciozni softver zapravo aktiviran i da radi na “jačanju politika, praksi i tehnologije za zaštitu od budućih napada”. Ažurirana aplikacija je od tada dostupna korisnicima.
Trenutno nije utvrđeno kako su hakeri uspjeli provaliti u 3CX-ovu mrežu, i da li je to podrazumijevalo oružje poznate ili nepoznate ranjivosti. Kompromis lanca snabdevanja se prati pod identifikatorom CVE-2023-29059 (CVSS rezultat: 7,8).