Доставчикът на корпоративни комуникационни услуги 3CX потвърди, че атаката по веригата за доставки, насочена към десктоп приложението му за Windows и macOS, е дело на група, свързана със Северна Корея.

Констатациите са резултат от междинна оценка, извършена от притежаваната от Google компания Mandiant, чиито услуги бяха използвани, след като проникването стана известно в края на миналия месец. Звеното за разузнаване на заплахи и реагиране на инциденти проследява дейността под некатегоризирания си псевдоним UNC4736.

Струва си да се отбележи, че фирмата за киберсигурност CrowdStrike приписа атаката на севернокорейската подгрупа Lazarus, наречена Labyrinth Chollima, позовавайки се на тактически припокривания.

Веригата на атаката, въз основа на анализи от множество доставчици на системи за сигурност, е включвала използването на техники за странично зареждане на DLL за зареждане на крадец на информация, известен като ICONIC Stealer, последван от втори етап, наречен Gopuram, в селективни атаки, насочени към криптокомпании.

Криминалистичното разследване на Mandiant вече разкри, че извършителите са заразили системите на 3CX със зловреден софтуер с кодово име TAXHAUL, който е предназначен за декриптиране и зареждане на шелкод, съдържащ „сложен даунлоудър“, обозначен като COLDCAT.

„В Windows нападателят е използвал странично зареждане на DLL, за да постигне устойчивост на зловредния софтуер TAXHAUL“, казват от 3CX. „Механизмът за устойчивост също така гарантира, че зловредният софтуер на атакуващия се зарежда при стартиране на системата, което позволява на атакуващия да запази отдалечен достъп до заразената система през интернет.“

Компанията заяви още, че злонамереният DLL (wlbsctrl.dll) е бил зареден от услугата Windows IKE and AuthIP IPsec Keying Modules (IKEEXT) чрез svchost.exe, легитимен системен процес.

Твърди се, че системите с macOS, обект на атаката, са били подсигурени с помощта на друг щам на зловреден софтуер, наречен SIMPLESEA – базиран на C зловреден софтуер, който комуникира чрез HTTP, за да изпълнява шел команди, да прехвърля файлове и да актуализира конфигурации.

Наблюдава се, че семействата зловреден софтуер, открити в средата на 3CX, се свързват с поне четири сървъра за управление и контрол (C2): azureonlinecloud[.]com, akamaicontainer[.]com, journalide[.]org и msboxonline[.]com.

Главният изпълнителен директор на 3CX Ник Галеа в публикация във форума миналата седмица заяви, че компанията е запозната само с „няколко случая“, в които зловредният софтуер действително е бил активиран, и че работи за „укрепване на нашите политики, практики и технологии, за да се предпазим от бъдещи атаки“. Оттогава на клиентите е предоставено актуализирано приложение.

Към момента не е установено как корейците са успели да проникнат в мрежата на 3CX и дали това е било свързано с използване на оръжие върху известна или неизвестна уязвимост. Компрометирането на веригата за доставки се проследява под идентификатора CVE-2023-29059 (CVSS оценка: 7.8).

Източник: The Hacker News

Подобни публикации

23 април 2025

Азиатски престъпни мрежи разширяват дейността с...

Престъпни синдикати от Източна и Югоизточна Азия пренасят доходонос...
22 април 2025

3дравни организации станаха жертва на мащабни п...

Две здравни организации в САЩ потвърдиха, че са станали обект на се...
22 април 2025

Културата – почвата на киберсигурността, а не о...

Когато става въпрос за киберсигурност, хората често си представят с...
22 април 2025

Microsoft извършва най-мащабната реформа в кибе...

Microsoft обяви, че е завършила „най-големия проект за инжене...
22 април 2025

Севернокорейски хакери използват Zoom за кражба...

Севернокорейски киберпрестъпници са усъвършенствали тактиките си за...
22 април 2025

Exaforce с амбиция да преосмисли SOC: 75 милион...

Сан Франсиско се превръща във все по-важен хъб за иновации в киберс...
21 април 2025

Kenzo Security: Иновативна платформа за киберси...

Стартъпът Kenzo Security обяви излизането си от скрит режим, съобща...
Бъдете социални
Още по темата
21/04/2025

Кибератака прекъсва учебния...

Киберинцидент с широк обхват засегна няколко...
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
15/04/2025

Кибератаки: 56% от случаите...

В нов доклад на Sophos, фирма...
Последно добавени
23/04/2025

Азиатски престъпни мрежи ра...

Престъпни синдикати от Източна и Югоизточна...
22/04/2025

3дравни организации станаха...

Две здравни организации в САЩ потвърдиха,...
22/04/2025

Културата – почвата на кибе...

Когато става въпрос за киберсигурност, хората...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!