Търсене
Close this search box.

Lazarus, голямата и успешна севернокорейска хакерска група, която стои зад каскадната атака по веригата за доставки, насочена към 3CX, също така проби две организации от критичната инфраструктура в енергийния сектор и две други предприятия, занимаващи се с финансова търговия, като използва троянския софтуер X_TRADER.

Новите констатации, които идват с любезното съдействие на екипа Threat Hunter на Symantec, потвърждават по-ранните подозрения, че компрометирането на приложението X_TRADER е засегнало повече организации от 3CX. Имената на организациите не бяха разкрити.

Ерик Чиен, директор на отдела за отговор на сигурността в Symantec, собственост на Broadcom, заяви в изявление за The Hacker News, че атаките са извършени между септември 2022 г. и ноември 2022 г.

„Въздействието от тези инфекции засега не е известно – необходимо е повече разследване, което продължава“, каза Чиен, добавяйки, че е възможно да има „вероятно още нещо в тази история и вероятно дори други пакети, които са троянизирани“.

Развитието на ситуацията идва в момент, когато Mandiant разкри, че компрометирането на софтуера за настолни приложения 3CX миналия месец е било улеснено от друг пробив във веригата за доставка на софтуер, насочен към X_TRADER през 2022 г., който служител е изтеглил на личния си компютър.

Понастоящем не е ясно как UNC4736, севернокорейски свързващ хакер, е подправил X_TRADER – софтуер за търговия, разработен от компания на име Trading Technologies. Макар че услугата беше преустановена през април 2020 г., тя все още беше достъпна за изтегляне от уебсайта на компанията още миналата година.

Разследването на Mandiant разкри, че задната врата (наречена VEILEDSIGNAL), инжектирана в повреденото приложение X_TRADER, е позволила на противника да получи достъп до компютъра на служителя и да измъкне неговите идентификационни данни, които след това са били използвани, за да пробие мрежата на 3CX, да се придвижи флангово и да компрометира средите за изграждане на Windows и MacOS, за да вмъкне зловреден код.

Разширяващата се взаимосвързана атака изглежда има значително припокриване с предишни групи и кампании, свързани със Северна Корея, които в миналото са били насочени към компании за криптовалути и са провеждали финансово мотивирани атаки.

Дъщерното дружество на Google Cloud е оценило с „умерена увереност“, че дейността е свързана с AppleJeus – постоянна кампания, насочена към криптокомпании с цел финансова кражба. Фирмата за киберсигурност CrowdStrike по-рано приписа атаката на клъстер Lazarus, който тя нарича Labyrinth Chollima.

Същият неприятелски колектив по-рано беше свързан от Групата за анализ на заплахите (TAG) на Google с компрометирането на уебсайта на Trading Technologies през февруари 2022 г., за да се сервира комплект експлойти, който използва тогавашния недостатък от нулев ден в уеб браузъра Chrome.

При анализа на разнородна кампания на Lazarus Group ESET разкри нов зловреден софтуер, базиран на Linux, наречен SimplexTea, който споделя същата мрежова инфраструктура, идентифицирана като използвана от UNC4736, което допълнително разширява съществуващите доказателства, че хакването на 3CX е организирано от севернокорейски хакери.

„[Откритието на Mandiant] за втора атака по веригата за доставки, отговорна за компрометирането на 3CX, е разкритие, че Lazarus може да се насочва все повече към тази техника, за да получи първоначален достъп в мрежата на своите цели“, заяви пред The Hacker News изследователят на зловреден софтуер от ESET Марк-Етиен М.Левейе.

Компрометирането на приложението X_TRADER допълнително загатва за финансовите мотиви на нападателите. Lazarus (известен също като HIDDEN COBRA) е събирателен термин за съвкупност от няколко подгрупи, базирани в Северна Корея, които се занимават както с шпионаж, така и с киберпрестъпни дейности от името на Кралството на отшелниците и избягват международните санкции.

Разбивката на веригата на заразяване, направена от Symantec, потвърждава внедряването на модулната задна врата VEILEDSIGNAL, която включва и модул за инжектиране на процеси, който може да бъде инжектиран в уеб браузърите Chrome, Firefox или Edge. Модулът, от своя страна, съдържа библиотека за динамично свързване (DLL), която се свързва с уебсайта на Trading Technologies за командване и управление (C2).

„Откритието, че 3CX е била пробита от друга, по-ранна атака по веригата за доставки, направи много вероятно още организации да бъдат засегнати от тази кампания, която сега се оказва много по-широка, отколкото се смяташе първоначално“, заключава Symantec.

 

Източник: The Hacker News

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
3 октомври 2024

Microsoft представя Copilot Vision, но набляга ...

Във вторник Microsoft представи нов инструмент за анализ на уеб съд...
Бъдете социални
Още по темата
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
01/10/2024

Deepfake Дмитро Кулеба се с...

По-рано този месец сенатор Бен Кардин...
27/09/2024

Израелска група претендира ...

В сряда американската агенция за киберсигурност...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!