0
0
Peças do quebra-cabeça de comprometimento da cadeia de suprimentos 3CX estão começando a se encaixar, embora ainda estejamos longe de ver o quadro completo.
Entretanto, agora também sabemos que:
- A fonte da violação do 3CX foi um instalador comprometido para X_TRADER, um antigo pacote de software para negociação de futuros fornecido pela Trading Technologies
- O instalador trojanizado para X_TRADER software também foi usado para lançar um backdoor nos sistemas de duas organizações de infraestrutura crítica no setor de energia e duas organizações envolvidas em negociações financeiras.
O comprometimento da cadeia de suprimentos 3CX
Como relatamos anteriormente, as versões para desktop Windows e Mac do aplicativo 3CX foram injetadas com malware e usadas para fornecer malware que rouba informações a um número ainda desconhecido de clientes 3CX. De acordo com a Kaspersky, algumas das vítimas são empresas de criptomoedas.
A 3CX contratou a Mandiant para investigar como seu próprio compromisso aconteceu, e eles revelaram na quinta-feira passada que um dos funcionários da 3CX baixou o instalador de X_TRADER armadilhado, levando à implantação final de um backdoor modular (apelidado de VEILEDSIGNAL) em seu sistema.
O instalador foi assinado com um certificado digital expirado pertencente à Trading Technologies e remonta a novembro de 2021.
“O invasor usou uma versão compilada do projeto Fast Reverse Proxy disponível publicamente para se mover lateralmente dentro da organização 3CX durante o ataque. Mandiant foi capaz de reconstruir os passos do atacante em todo o ambiente enquanto eles colhiam credenciais e se moviam lateralmente. Eventualmente, o invasor conseguiu comprometer os ambientes de compilação do Windows e do macOS”, compartilharam os investigadores da empresa.
“No ambiente de compilação do Windows, o invasor implantou um iniciador TAXHAUL e um downloader COLDCAT que persistiu executando o sequestro de ordem de pesquisa DLL por meio do serviço IKEEXT e executado com privilégios LocalSystem. O servidor de compilação do macOS foi comprometido com o backdoor do POOLRAT usando o Launch Daemons como um mecanismo de persistência.”
Eles também encontraram indicadores de comprometimento que parecem corroborar sua avaliação inicial de que hackers norte-coreanos patrocinados pelo governo estão por trás da violação.
“O comprometimento identificado da cadeia de suprimentos de software é o primeiro de que estamos cientes de que levou a um comprometimento em cascata da cadeia de suprimentos de software”, acrescentaram. “Os compromissos em cascata da cadeia de fornecimento de software demonstram que as operadoras norte-coreanas podem explorar o acesso à rede de maneiras criativas para desenvolver e distribuir malware e se mover entre as redes de destino enquanto conduzem operações alinhadas com os interesses da Coreia do Norte”.
Quase simultaneamente, os pesquisadores da ESET publicaram um relatório sobre o Lazarus APT visando usuários Linux com falsas ofertas de emprego e um backdoor Linux, e ainda ligaram o grupo ao ataque à cadeia de suprimentos 3CX com base em semelhanças entre malware usado e infraestrutura compartilhada.
“The stealthiness of a supply chain attack makes [distributing malware via compromised software] very appealing from an attacker’s perspective. Lazarus has already used this technique in the past, targeting South Korean users of WIZVERA VeraPort software in 2020. Similarities with existing malware from the Lazarus toolset and with the group’s typical techniques strongly suggest the recent 3CX compromise is the work of Lazarus as well,” they noted.
“It is also interesting to note that Lazarus can produce and use malware for all major desktop operating systems: Windows, macOS, and Linux.”
The yet unknown fallout of the Trading Technologies compromise
Then, on Friday, Symantec’s Threat Hunter Team revealed that the X_TRADER software supply chain attack affected more organizations than 3CX, including two organizations in the energy sector in the US and the UK, as well as two organizations involved in financial trading. (The extent of possible compromise at those companies is unknown.)
“Parece provável que o ataque X_Trader cadeia de suprimentos seja motivado financeiramente, uma vez que a Trading Technologies, desenvolvedora de X_Trader, facilita a negociação de futuros, incluindo futuros de energia. No entanto, o comprometimento dos objectivos das infraestruturas críticas é uma fonte de preocupação. Atores patrocinados pela Coreia do Norte são conhecidos por se envolverem tanto em espionagem quanto em ataques motivados financeiramente e não se pode descartar que organizações estrategicamente importantes violadas durante uma campanha financeira sejam alvo de maior exploração”, apontaram.
A Trading Technologies disse ao jornalista de segurança Kim Zetter que o pacote de X_TRADER comprometido foi baixado por 97 indivíduos entre 1º de novembro de 2021 e 26 de julho de 2022 e que eles foram notificados e aconselhados a não abrir o software se ainda não o fizeram.
Se algum desses indivíduos trabalha em outras empresas de software, a descoberta de ataques adicionais relacionados à cadeia de suprimentos é muito provável.
FONTE: HELPNET SECURITY