Lazarus, голямата и успешна севернокорейска хакерска група, която стои зад каскадната атака по веригата за доставки, насочена към 3CX, също така проби две организации от критичната инфраструктура в енергийния сектор и две други предприятия, занимаващи се с финансова търговия, като използва троянския софтуер X_TRADER.

Новите констатации, които идват с любезното съдействие на екипа Threat Hunter на Symantec, потвърждават по-ранните подозрения, че компрометирането на приложението X_TRADER е засегнало повече организации от 3CX. Имената на организациите не бяха разкрити.

Ерик Чиен, директор на отдела за отговор на сигурността в Symantec, собственост на Broadcom, заяви в изявление за The Hacker News, че атаките са извършени между септември 2022 г. и ноември 2022 г.

„Въздействието от тези инфекции засега не е известно – необходимо е повече разследване, което продължава“, каза Чиен, добавяйки, че е възможно да има „вероятно още нещо в тази история и вероятно дори други пакети, които са троянизирани“.

Развитието на ситуацията идва в момент, когато Mandiant разкри, че компрометирането на софтуера за настолни приложения 3CX миналия месец е било улеснено от друг пробив във веригата за доставка на софтуер, насочен към X_TRADER през 2022 г., който служител е изтеглил на личния си компютър.

Понастоящем не е ясно как UNC4736, севернокорейски свързващ хакер, е подправил X_TRADER – софтуер за търговия, разработен от компания на име Trading Technologies. Макар че услугата беше преустановена през април 2020 г., тя все още беше достъпна за изтегляне от уебсайта на компанията още миналата година.

Разследването на Mandiant разкри, че задната врата (наречена VEILEDSIGNAL), инжектирана в повреденото приложение X_TRADER, е позволила на противника да получи достъп до компютъра на служителя и да измъкне неговите идентификационни данни, които след това са били използвани, за да пробие мрежата на 3CX, да се придвижи флангово и да компрометира средите за изграждане на Windows и MacOS, за да вмъкне зловреден код.

Разширяващата се взаимосвързана атака изглежда има значително припокриване с предишни групи и кампании, свързани със Северна Корея, които в миналото са били насочени към компании за криптовалути и са провеждали финансово мотивирани атаки.

Дъщерното дружество на Google Cloud е оценило с „умерена увереност“, че дейността е свързана с AppleJeus – постоянна кампания, насочена към криптокомпании с цел финансова кражба. Фирмата за киберсигурност CrowdStrike по-рано приписа атаката на клъстер Lazarus, който тя нарича Labyrinth Chollima.

Същият неприятелски колектив по-рано беше свързан от Групата за анализ на заплахите (TAG) на Google с компрометирането на уебсайта на Trading Technologies през февруари 2022 г., за да се сервира комплект експлойти, който използва тогавашния недостатък от нулев ден в уеб браузъра Chrome.

При анализа на разнородна кампания на Lazarus Group ESET разкри нов зловреден софтуер, базиран на Linux, наречен SimplexTea, който споделя същата мрежова инфраструктура, идентифицирана като използвана от UNC4736, което допълнително разширява съществуващите доказателства, че хакването на 3CX е организирано от севернокорейски хакери.

„[Откритието на Mandiant] за втора атака по веригата за доставки, отговорна за компрометирането на 3CX, е разкритие, че Lazarus може да се насочва все повече към тази техника, за да получи първоначален достъп в мрежата на своите цели“, заяви пред The Hacker News изследователят на зловреден софтуер от ESET Марк-Етиен М.Левейе.

Компрометирането на приложението X_TRADER допълнително загатва за финансовите мотиви на нападателите. Lazarus (известен също като HIDDEN COBRA) е събирателен термин за съвкупност от няколко подгрупи, базирани в Северна Корея, които се занимават както с шпионаж, така и с киберпрестъпни дейности от името на Кралството на отшелниците и избягват международните санкции.

Разбивката на веригата на заразяване, направена от Symantec, потвърждава внедряването на модулната задна врата VEILEDSIGNAL, която включва и модул за инжектиране на процеси, който може да бъде инжектиран в уеб браузърите Chrome, Firefox или Edge. Модулът, от своя страна, съдържа библиотека за динамично свързване (DLL), която се свързва с уебсайта на Trading Technologies за командване и управление (C2).

„Откритието, че 3CX е била пробита от друга, по-ранна атака по веригата за доставки, направи много вероятно още организации да бъдат засегнати от тази кампания, която сега се оказва много по-широка, отколкото се смяташе първоначално“, заключава Symantec.

 

Източник: The Hacker News

Подобни публикации

19 януари 2025

Нарушението на данните на Wolf Haldenstein зася...

Адвокатската кантора Wolf Haldenstein Adler Freeman & Herz LLP ...
19 януари 2025

САЩ призовават за преодоляване на разликата в р...

Агенцията за киберсигурност CISA и други правителствени агенции при...
19 януари 2025

САЩ наложиха санкции за масираната хакерска ата...

Министерството на финансите обяви в петък санкции във връзка с маща...
19 януари 2025

Фалшивият Брад Пит е разкрит: как етичен хакер ...

Маруан Уараб, бивш измамник и киберпрестъпник, превърнал се в етиче...
18 януари 2025

FTC нарежда на GoDaddy да коригира неадекватнит...

След като установи, че политиките за сигурност на GoDaddy са недост...
17 януари 2025

SSO - опростете достъпа и защитете бизнеса си

Днес предприятията са изправени пред сложна работна среда, в която ...
17 януари 2025

Руски кибершпиони са хванати да извършват Spear...

Изследователи на Microsoft са разкрили, че руски разузнавателни аге...
Бъдете социални
Още по темата
17/01/2025

Руски кибершпиони са хванат...

Изследователи на Microsoft са разкрили, че...
15/01/2025

ФБР ликвидира китайския зло...

На 14 януари Министерството на правосъдието...
09/01/2025

Авиационният орган на ООН р...

Международната организация за гражданска авиация (ИКАО)...
Последно добавени
19/01/2025

Нарушението на данните на W...

Адвокатската кантора Wolf Haldenstein Adler Freeman...
19/01/2025

САЩ призовават за преодоляв...

Агенцията за киберсигурност CISA и други...
19/01/2025

САЩ наложиха санкции за мас...

Министерството на финансите обяви в петък...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!