Търсене
Close this search box.

X_TRADER засяга критичната инфраструктура отвъд пробива на 3CX

Lazarus, голямата и успешна севернокорейска хакерска група, която стои зад каскадната атака по веригата за доставки, насочена към 3CX, също така проби две организации от критичната инфраструктура в енергийния сектор и две други предприятия, занимаващи се с финансова търговия, като използва троянския софтуер X_TRADER.

Новите констатации, които идват с любезното съдействие на екипа Threat Hunter на Symantec, потвърждават по-ранните подозрения, че компрометирането на приложението X_TRADER е засегнало повече организации от 3CX. Имената на организациите не бяха разкрити.

Ерик Чиен, директор на отдела за отговор на сигурността в Symantec, собственост на Broadcom, заяви в изявление за The Hacker News, че атаките са извършени между септември 2022 г. и ноември 2022 г.

„Въздействието от тези инфекции засега не е известно – необходимо е повече разследване, което продължава“, каза Чиен, добавяйки, че е възможно да има „вероятно още нещо в тази история и вероятно дори други пакети, които са троянизирани“.

Развитието на ситуацията идва в момент, когато Mandiant разкри, че компрометирането на софтуера за настолни приложения 3CX миналия месец е било улеснено от друг пробив във веригата за доставка на софтуер, насочен към X_TRADER през 2022 г., който служител е изтеглил на личния си компютър.

Понастоящем не е ясно как UNC4736, севернокорейски свързващ хакер, е подправил X_TRADER – софтуер за търговия, разработен от компания на име Trading Technologies. Макар че услугата беше преустановена през април 2020 г., тя все още беше достъпна за изтегляне от уебсайта на компанията още миналата година.

Разследването на Mandiant разкри, че задната врата (наречена VEILEDSIGNAL), инжектирана в повреденото приложение X_TRADER, е позволила на противника да получи достъп до компютъра на служителя и да измъкне неговите идентификационни данни, които след това са били използвани, за да пробие мрежата на 3CX, да се придвижи флангово и да компрометира средите за изграждане на Windows и MacOS, за да вмъкне зловреден код.

Разширяващата се взаимосвързана атака изглежда има значително припокриване с предишни групи и кампании, свързани със Северна Корея, които в миналото са били насочени към компании за криптовалути и са провеждали финансово мотивирани атаки.

Дъщерното дружество на Google Cloud е оценило с „умерена увереност“, че дейността е свързана с AppleJeus – постоянна кампания, насочена към криптокомпании с цел финансова кражба. Фирмата за киберсигурност CrowdStrike по-рано приписа атаката на клъстер Lazarus, който тя нарича Labyrinth Chollima.

Същият неприятелски колектив по-рано беше свързан от Групата за анализ на заплахите (TAG) на Google с компрометирането на уебсайта на Trading Technologies през февруари 2022 г., за да се сервира комплект експлойти, който използва тогавашния недостатък от нулев ден в уеб браузъра Chrome.

При анализа на разнородна кампания на Lazarus Group ESET разкри нов зловреден софтуер, базиран на Linux, наречен SimplexTea, който споделя същата мрежова инфраструктура, идентифицирана като използвана от UNC4736, което допълнително разширява съществуващите доказателства, че хакването на 3CX е организирано от севернокорейски хакери.

„[Откритието на Mandiant] за втора атака по веригата за доставки, отговорна за компрометирането на 3CX, е разкритие, че Lazarus може да се насочва все повече към тази техника, за да получи първоначален достъп в мрежата на своите цели“, заяви пред The Hacker News изследователят на зловреден софтуер от ESET Марк-Етиен М.Левейе.

Компрометирането на приложението X_TRADER допълнително загатва за финансовите мотиви на нападателите. Lazarus (известен също като HIDDEN COBRA) е събирателен термин за съвкупност от няколко подгрупи, базирани в Северна Корея, които се занимават както с шпионаж, така и с киберпрестъпни дейности от името на Кралството на отшелниците и избягват международните санкции.

Разбивката на веригата на заразяване, направена от Symantec, потвърждава внедряването на модулната задна врата VEILEDSIGNAL, която включва и модул за инжектиране на процеси, който може да бъде инжектиран в уеб браузърите Chrome, Firefox или Edge. Модулът, от своя страна, съдържа библиотека за динамично свързване (DLL), която се свързва с уебсайта на Trading Technologies за командване и управление (C2).

„Откритието, че 3CX е била пробита от друга, по-ранна атака по веригата за доставки, направи много вероятно още организации да бъдат засегнати от тази кампания, която сега се оказва много по-широка, отколкото се смяташе първоначално“, заключава Symantec.

 

Източник: The Hacker News

Подобни публикации

30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
Бъдете социални
Още по темата
16/05/2024

Украински и латвийски телев...

Само в Украйна бяха прекъснати поне...
10/05/2024

Полша твърди, че руски воен...

Полша съобщава, че подкрепяна от държавата...
07/05/2024

Amnesty International посоч...

Нарастващото количество технологии за наблюдение, които...
Последно добавени
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!