0
0
O agente da ameaça – que se acredita ser o Lazarus Group – que recentemente comprometeu o aplicativo de desktop VoIP da 3CX para distribuir software de roubo de informações aos clientes da empresa também lançou um backdoor de segundo estágio em sistemas pertencentes a um pequeno número deles.
O backdoor, chamado “Gopuram”, contém vários módulos que os agentes de ameaças podem usar para exfiltrar dados; instalar malware adicional; iniciar, parar e excluir serviços; e interagir diretamente com os sistemas das vítimas. Pesquisadores da Kaspersky detectaram o malware em um punhado de sistemas executando versões comprometidas do 3CX DesktopApp.
Enquanto isso, alguns pesquisadores de segurança agora dizem que sua análise mostra que os agentes de ameaças podem ter explorado uma vulnerabilidade do Windows de 10 anos ( CVE-2013-3900 ).
Gopuram: Backdoor conhecido ligado ao Lazarus
A Kaspersky identificou o Gopuram como um backdoor que está rastreando desde pelo menos 2020, quando a empresa o encontrou instalado em um sistema pertencente a uma empresa de criptomoedas no Sudeste Asiático. Os pesquisadores da época encontraram o backdoor instalado em um sistema ao lado de outro backdoor chamado AppleJeus, atribuído ao prolífico Lazarus Group da Coréia do Norte.
Em uma postagem de blog em 3 de abril, a Kaspersky concluiu que o ataque ao 3CX foi, portanto, muito provavelmente obra da mesma equipe. “A descoberta das novas infecções Gopuram nos permitiu atribuir a campanha 3CX ao agente da ameaça Lazarus com confiança média a alta”, disse Kaspersky.
O pesquisador da Kaspersky, Georgy Kucherin, diz que o objetivo do backdoor é realizar espionagem cibernética. “Gopuram é uma carga útil de segundo estágio lançada pelos invasores” para espionar as organizações-alvo, diz ele.
A descoberta da Kaspersky de malware de segundo estágio adiciona outra ruga ao ataque à 3CX, um provedor de videoconferência, PBX e aplicativo de comunicação empresarial para sistemas Windows, macOS e Linux. A empresa afirmou que cerca de 600.000 organizações em todo o mundo – com mais de 12 milhões de usuários diários – atualmente usam seu 3CX DesktopApp.
Um grande compromisso da cadeia de suprimentos
Em 30 de março, o CEO da 3CX, Nick Galea, e o CISO Pierre Jourdan confirmaram que os invasores comprometeram certas versões do Windows e macOS do software para distribuir malware. A divulgação ocorreu depois que vários fornecedores de segurança relataram observar atividades suspeitas associadas a atualizações assinadas e legítimas do binário 3CX DesktopApp.
Suas investigações mostraram que um agente de ameaça — agora identificado como Lazarus Group — havia comprometido duas bibliotecas de vínculo dinâmico (DLLs) no pacote de instalação do aplicativo e adicionado código malicioso a elas. Os aplicativos armados terminaram nos sistemas do usuário por meio de atualizações automáticas do 3CX e também por meio de atualizações manuais.
Uma vez no sistema, o 3CX DesktopApp assinado executa o instalador malicioso, que inicia uma série de etapas que terminam com a instalação de um malware para roubo de informações no sistema comprometido. Vários pesquisadores de segurança notaram que apenas um invasor com um alto nível de acesso ao ambiente de desenvolvimento ou construção do 3CX seria capaz de introduzir código malicioso nas DLLs e passar despercebido.
A 3CX contratou a Mandiant para investigar o incidente e disse que divulgará mais detalhes sobre o que exatamente aconteceu assim que tiver todos os detalhes.
Os invasores exploraram uma falha do Windows de 10 anos
O Lazarus Group também aparentemente usou um bug de 10 anos para adicionar código malicioso a uma DLL da Microsoft sem invalidar a assinatura.
Em sua divulgação de vulnerabilidade de 2103, a Microsoft descreveu a falha como dando aos invasores uma maneira de adicionar código malicioso a um executável assinado sem invalidar a assinatura. A atualização da empresa para o problema mudou a forma como os binários assinados com o Windows Authenticode são verificados. Basicamente, a atualização garantiu que, se alguém fizesse alterações em um binário já assinado, o Windows não reconheceria mais o binário como assinado.
Ao anunciar a atualização na época, a Microsoft também a tornou uma atualização opcional, o que significa que os usuários não precisavam aplicar a atualização se estivessem preocupados com a verificação de assinatura mais rigorosa, causando problemas em situações em que poderiam ter feito alterações personalizadas nos instaladores.
“A Microsoft relutou, por um tempo, em tornar esse patch oficial”, disse Jon Clay, vice-presidente de inteligência de ameaças da Trend Micro. “O que está sendo abusado por essa vulnerabilidade, em essência, é um espaço de rascunho no final do arquivo. Pense nisso como um sinalizador de cookie que muitos aplicativos têm permissão para usar, como alguns navegadores da Internet.”
Brigid O’Gorman, analista sênior de inteligência da equipe de caçadores de ameaças da Symantec, diz que os pesquisadores da empresa viram os invasores 3CX anexando dados ao final de uma DLL da Microsoft assinada. “Vale a pena notar que o que é adicionado ao arquivo são dados criptografados que precisam de algo mais para transformá-los em código malicioso”, diz O’Gorman. Nesse caso, o aplicativo 3CX transfere o arquivo ffmpeg.dll, que lê os dados anexados ao final do arquivo e os descriptografa em um código que chama um servidor externo de comando e controle (C2), observa ela.
“Acho que o melhor conselho para as organizações no momento seria aplicar o patch da Microsoft para CVE-2013-3900, caso ainda não o tenham feito”, diz O’Gorman.
Notavelmente, as organizações que podem ter corrigido a vulnerabilidade quando a Microsoft lançou uma atualização para ela precisariam fazê-lo novamente se tivessem o Windows 11. Isso porque o sistema operacional mais recente desfez o efeito do patch, dizem Kucherin e outros pesquisadores.
“CVE-2013-3900 foi usado pela DLL de segundo estágio em uma tentativa de se esconder de aplicativos de segurança que verificam apenas a validade de uma assinatura digital”, diz Clay. A aplicação de patches ajudaria os produtos de segurança a sinalizar o arquivo para análise, observa ele.
A Microsoft não respondeu imediatamente a uma solicitação de Dark Reading para obter informações sobre sua decisão de tornar o CVE-2013-3900 uma atualização opcional; mitigações; ou se a instalação do Windows 11 reverte os efeitos do patch.
FONTE: DARK READING