X_TRADER засяга критичната инфраструктура отвъд пробива на 3CX

Lazarus, голямата и успешна севернокорейска хакерска група, която стои зад каскадната атака по веригата за доставки, насочена към 3CX, също така проби две организации от критичната инфраструктура в енергийния сектор и две други предприятия, занимаващи се с финансова търговия, като използва троянския софтуер X_TRADER.

Новите констатации, които идват с любезното съдействие на екипа Threat Hunter на Symantec, потвърждават по-ранните подозрения, че компрометирането на приложението X_TRADER е засегнало повече организации от 3CX. Имената на организациите не бяха разкрити.

Ерик Чиен, директор на отдела за отговор на сигурността в Symantec, собственост на Broadcom, заяви в изявление за The Hacker News, че атаките са извършени между септември 2022 г. и ноември 2022 г.

„Въздействието от тези инфекции засега не е известно – необходимо е повече разследване, което продължава“, каза Чиен, добавяйки, че е възможно да има „вероятно още нещо в тази история и вероятно дори други пакети, които са троянизирани“.

Развитието на ситуацията идва в момент, когато Mandiant разкри, че компрометирането на софтуера за настолни приложения 3CX миналия месец е било улеснено от друг пробив във веригата за доставка на софтуер, насочен към X_TRADER през 2022 г., който служител е изтеглил на личния си компютър.

Понастоящем не е ясно как UNC4736, севернокорейски свързващ хакер, е подправил X_TRADER – софтуер за търговия, разработен от компания на име Trading Technologies. Макар че услугата беше преустановена през април 2020 г., тя все още беше достъпна за изтегляне от уебсайта на компанията още миналата година.

Разследването на Mandiant разкри, че задната врата (наречена VEILEDSIGNAL), инжектирана в повреденото приложение X_TRADER, е позволила на противника да получи достъп до компютъра на служителя и да измъкне неговите идентификационни данни, които след това са били използвани, за да пробие мрежата на 3CX, да се придвижи флангово и да компрометира средите за изграждане на Windows и MacOS, за да вмъкне зловреден код.

Разширяващата се взаимосвързана атака изглежда има значително припокриване с предишни групи и кампании, свързани със Северна Корея, които в миналото са били насочени към компании за криптовалути и са провеждали финансово мотивирани атаки.

Дъщерното дружество на Google Cloud е оценило с „умерена увереност“, че дейността е свързана с AppleJeus – постоянна кампания, насочена към криптокомпании с цел финансова кражба. Фирмата за киберсигурност CrowdStrike по-рано приписа атаката на клъстер Lazarus, който тя нарича Labyrinth Chollima.

Същият неприятелски колектив по-рано беше свързан от Групата за анализ на заплахите (TAG) на Google с компрометирането на уебсайта на Trading Technologies през февруари 2022 г., за да се сервира комплект експлойти, който използва тогавашния недостатък от нулев ден в уеб браузъра Chrome.

При анализа на разнородна кампания на Lazarus Group ESET разкри нов зловреден софтуер, базиран на Linux, наречен SimplexTea, който споделя същата мрежова инфраструктура, идентифицирана като използвана от UNC4736, което допълнително разширява съществуващите доказателства, че хакването на 3CX е организирано от севернокорейски хакери.

„[Откритието на Mandiant] за втора атака по веригата за доставки, отговорна за компрометирането на 3CX, е разкритие, че Lazarus може да се насочва все повече към тази техника, за да получи първоначален достъп в мрежата на своите цели“, заяви пред The Hacker News изследователят на зловреден софтуер от ESET Марк-Етиен М.Левейе.

Компрометирането на приложението X_TRADER допълнително загатва за финансовите мотиви на нападателите. Lazarus (известен също като HIDDEN COBRA) е събирателен термин за съвкупност от няколко подгрупи, базирани в Северна Корея, които се занимават както с шпионаж, така и с киберпрестъпни дейности от името на Кралството на отшелниците и избягват международните санкции.

Разбивката на веригата на заразяване, направена от Symantec, потвърждава внедряването на модулната задна врата VEILEDSIGNAL, която включва и модул за инжектиране на процеси, който може да бъде инжектиран в уеб браузърите Chrome, Firefox или Edge. Модулът, от своя страна, съдържа библиотека за динамично свързване (DLL), която се свързва с уебсайта на Trading Technologies за командване и управление (C2).

„Откритието, че 3CX е била пробита от друга, по-ранна атака по веригата за доставки, направи много вероятно още организации да бъдат засегнати от тази кампания, която сега се оказва много по-широка, отколкото се смяташе първоначално“, заключава Symantec.

 

Източник: The Hacker News

Подобни публикации

5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
Бъдете социални
Още по темата
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
29/11/2023

Ирански хакери експлоатират...

Агенцията за киберсигурност и инфраструктура в...
17/11/2023

ChatGPT претърпя DDoS атака

Популярното приложение за генеративен изкуствен интелект...
Последно добавени
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!