X_TRADER засяга критичната инфраструктура отвъд пробива на 3CX

Lazarus, голямата и успешна севернокорейска хакерска група, която стои зад каскадната атака по веригата за доставки, насочена към 3CX, също така проби две организации от критичната инфраструктура в енергийния сектор и две други предприятия, занимаващи се с финансова търговия, като използва троянския софтуер X_TRADER.

Новите констатации, които идват с любезното съдействие на екипа Threat Hunter на Symantec, потвърждават по-ранните подозрения, че компрометирането на приложението X_TRADER е засегнало повече организации от 3CX. Имената на организациите не бяха разкрити.

Ерик Чиен, директор на отдела за отговор на сигурността в Symantec, собственост на Broadcom, заяви в изявление за The Hacker News, че атаките са извършени между септември 2022 г. и ноември 2022 г.

„Въздействието от тези инфекции засега не е известно – необходимо е повече разследване, което продължава“, каза Чиен, добавяйки, че е възможно да има „вероятно още нещо в тази история и вероятно дори други пакети, които са троянизирани“.

Развитието на ситуацията идва в момент, когато Mandiant разкри, че компрометирането на софтуера за настолни приложения 3CX миналия месец е било улеснено от друг пробив във веригата за доставка на софтуер, насочен към X_TRADER през 2022 г., който служител е изтеглил на личния си компютър.

Понастоящем не е ясно как UNC4736, севернокорейски свързващ хакер, е подправил X_TRADER – софтуер за търговия, разработен от компания на име Trading Technologies. Макар че услугата беше преустановена през април 2020 г., тя все още беше достъпна за изтегляне от уебсайта на компанията още миналата година.

Разследването на Mandiant разкри, че задната врата (наречена VEILEDSIGNAL), инжектирана в повреденото приложение X_TRADER, е позволила на противника да получи достъп до компютъра на служителя и да измъкне неговите идентификационни данни, които след това са били използвани, за да пробие мрежата на 3CX, да се придвижи флангово и да компрометира средите за изграждане на Windows и MacOS, за да вмъкне зловреден код.

Разширяващата се взаимосвързана атака изглежда има значително припокриване с предишни групи и кампании, свързани със Северна Корея, които в миналото са били насочени към компании за криптовалути и са провеждали финансово мотивирани атаки.

Дъщерното дружество на Google Cloud е оценило с „умерена увереност“, че дейността е свързана с AppleJeus – постоянна кампания, насочена към криптокомпании с цел финансова кражба. Фирмата за киберсигурност CrowdStrike по-рано приписа атаката на клъстер Lazarus, който тя нарича Labyrinth Chollima.

Същият неприятелски колектив по-рано беше свързан от Групата за анализ на заплахите (TAG) на Google с компрометирането на уебсайта на Trading Technologies през февруари 2022 г., за да се сервира комплект експлойти, който използва тогавашния недостатък от нулев ден в уеб браузъра Chrome.

При анализа на разнородна кампания на Lazarus Group ESET разкри нов зловреден софтуер, базиран на Linux, наречен SimplexTea, който споделя същата мрежова инфраструктура, идентифицирана като използвана от UNC4736, което допълнително разширява съществуващите доказателства, че хакването на 3CX е организирано от севернокорейски хакери.

„[Откритието на Mandiant] за втора атака по веригата за доставки, отговорна за компрометирането на 3CX, е разкритие, че Lazarus може да се насочва все повече към тази техника, за да получи първоначален достъп в мрежата на своите цели“, заяви пред The Hacker News изследователят на зловреден софтуер от ESET Марк-Етиен М.Левейе.

Компрометирането на приложението X_TRADER допълнително загатва за финансовите мотиви на нападателите. Lazarus (известен също като HIDDEN COBRA) е събирателен термин за съвкупност от няколко подгрупи, базирани в Северна Корея, които се занимават както с шпионаж, така и с киберпрестъпни дейности от името на Кралството на отшелниците и избягват международните санкции.

Разбивката на веригата на заразяване, направена от Symantec, потвърждава внедряването на модулната задна врата VEILEDSIGNAL, която включва и модул за инжектиране на процеси, който може да бъде инжектиран в уеб браузърите Chrome, Firefox или Edge. Модулът, от своя страна, съдържа библиотека за динамично свързване (DLL), която се свързва с уебсайта на Trading Technologies за командване и управление (C2).

„Откритието, че 3CX е била пробита от друга, по-ранна атака по веригата за доставки, направи много вероятно още организации да бъдат засегнати от тази кампания, която сега се оказва много по-широка, отколкото се смяташе първоначално“, заключава Symantec.

 

Източник: The Hacker News

Подобни публикации

Глобиха Amazon с 30 млн. долара заради домофона...

Amazon ще плати 30 млн. долара глоби за уреждане на обвиненията в н...
1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
Бъдете социални
Още по темата
27/05/2023

С летния сезон фишинг и BEC...

Фишинг кампаниите, насочени към пътуващи, се...
25/05/2023

Справяне с недостига на тал...

  Нуждата от квалифициран персонал за...
24/05/2023

GoldenJackal работи активно...

Правителствени и дипломатически структури в Близкия...
Последно добавени
01/06/2023

Глобиха Amazon с 30 млн. до...

Amazon ще плати 30 млн. долара...
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!