Security Week 2317: подробности атаки supply chain на компанию 3CX

Security Week 2317: подробности атаки supply chain на компанию 3CX
В начале апреля мы писали об атаке на компанию 3CX. Эта атака относится к классу supply chain: в таких случаях не только компрометируется корпоративная сеть жертвы, но и возникает опасность заражения других компаний по цепочке поставок. В данном случае некоторое время с сайта 3CX распространялись зараженные и подписанные легитимным сертификатом версии ПО для интернет-телефонии. Специалисты «Лаборатории Касперского» провели анализ бэкдора Gopuram, применявшегося в атаке, и подтвердили, что, вероятнее всего, организатором выступила группировка Lazarus. А на прошлой неделе стало известно, что речь идет о впервые задокументированной многоступенчатой атаке supply chain: выяснилось, что 3CX была не первой жертвой.


Некоторые технические подробности атаки приводятся в отчете компании Mandiant. Журналистка Ким Зеттер в своей рассылке делится подробным таймлайном атаки, которая, как выяснилось, началась еще в 2021 году. Тогда была скомпрометирована инфраструктура компании Trading Technologies, а с официального сайта этой фирмы началось распространение зараженной версии ПО X_Trader.

X_Trader — это специализированное приложение для торговли на бирже, которым пользуются преимущественно банковские организации. В 2020 году разработка и поддержка этой программы официально была прекращена. В какой-то момент в 2021 году на сайте Trading Technologies началось распространение зараженного дистрибутива X_Trader, который был подписан легитимным сертификатом. Программа с бэкдором внутри провисела на сайте не меньше года, и убрали ее только в августе 2022-го. Примечательно, что в феврале прошлого года команда Google Threat Analysis Group писала о заражении ряда сайтов эксплойтом для браузера Google Chrome. В списке жертв присутствовал и сайт Trading Technologies.

Не позднее августа 2022 года зараженную версию X_Trader скачал на свой личный компьютер сотрудник компании 3CX. В результате в руках атакующих оказались данные для доступа к корпоративной сети 3CX с достаточно высокими привилегиями. По данным компании Symantec, во второй половине прошлого года жертвами X_Trader также стали как минимум четыре других организации, относящихся не к финансовой индустрии, а к энергетическому сектору. Атака же на 3CX обеспечила злоумышленникам доступ к билд-серверам организации, где были подготовлены версии клиента интернет-телефонии для Windows и Max OS, снабженные бэкдором. Остальное мы уже знаем: в марте 2023 года началось массовое заражение клиентов 3CX, а в конце месяца организация объявила о взломе, убрала все версии ПО с сайта (предложив временно использовать веб-клиент) и начала расследование.

Двойная атака на цепочку поставок документируется впервые. Она показывает, как злоумышленники могут эффективно использовать взломанную корпоративную инфраструктуру для максимального масштабирования кибератак. Пока не известно, сколько именно клиентов сразу двух пострадавших организаций оказались, в свою очередь, скомпрометированы. Известно, что взломанную программу X_Trader скачали не менее 100 раз. Это немного, но надо учитывать, что часто установка бэкдора открывала доступ к ценной корпоративной инфраструктуре — об этом свидетельствуют данные Symantec. Это также интересный пример, когда инструментом кибератаки становится более не поддерживаемое (но активно используемое) программное обеспечение, состояние которого разработчик внимательно не отслеживал. Настолько, что взлом сайта Trading Technologies в феврале прошлого года не помог обнаружить и распространяемое с того же самого сайта вредоносное ПО. Эксплойт, судя по всему, убрали, а вот бэкдор остался и привел к серьезным последствиям, подлинный масштаб которых по-прежнему остается неизвестным.

Что еще произошло:

«Лаборатория Касперского» продолжает исследовать необычные методы заражения вредоносным ПО. Во второй публикации по этой теме рассказывается в том числе про адаптивный интернет-червь RapperBot, заражающий сетевые роутеры и ведущий свою родословную от вредоносной программы Mirai. RapperBot анализирует обмен данными с устройством, чтобы точно определить тип и подобрать наиболее вероятные логин-пароль.

Брюс Шнайер со ссылкой на статью в The Wall Street Journal пишет о неожиданной проблеме с ключами восстановления доступа к учетной записи Apple ID. Опциональный recovery key можно сгенерировать на устройстве Apple: если вам понадобится сменить пароль к Apple ID, придется также ввести и этот ключ восстановления. Это по идее усиливает безопасность учетной записи, за исключением одного сценария: если у вас из рук выхватили разблокированный айфон. В таком случае злоумышленник может сгенерировать ключ впервые или поменять его, что надолго лишает жертву доступа и к своему устройству, и к своей учетной записи.

Интересное исследование из серии «никто не удивлен»: эксперты из компании ESET приобрели 18 корпоративных сетевых роутеров. На части из них сохранились данные для доступа к сети предыдущего владельца. Теоретически бывшие в употреблении сетевые устройства могут быть использованы для компрометации сетевой инфраструктуры.
3cx supply chain
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!