Три разные компании по кибербезопасности сошлись во мнениях, сомнений быть не может.
Поставщик корпоративных услуг связи 3CX наконец подтвердил , что атака на цепочку поставок, нацеленная на его настольное приложение для Windows и macOS, была делом рук киберпреступников, связанных с Северной Кореей. О самой атаке мы писали в начале прошлой недели.
Стоит отметить, что компания по кибербезопасности CrowdStrike ранее уже приписала атаку подгруппе северокорейской Lazarus Group под названием Labyrinth Chollima. Немного позже во мнениях с CrowdStrike сошлась и Лаборатория Касперского.
Судебное расследование компании Mandiant, к которой и обратилась за помощью в расследовании 3CX, показало, что злоумышленники из UNC4736 (внутреннее название данной группы хакеров) заразили системы 3CX вредоносным ПО под кодовым названием TAXHAUL, предназначенным для расшифровки и загрузки шелл-кода, содержащего «сложный загрузчик», именуемый COLDCAT.
Затем кибербандиты использовали метод DLL Sideloading, чтобы закрепиться в целевой системе. Вредоносная DLL (wlbsctrl.dll) была загружена службой Windows IKE и AuthIP IPsec Keying Modules (IKEEXT) через законный системный процесс svchost.exe.
Mandiant также идентифицировала бэкдор, направленный на macOS, под названием SIMPLESEA. Бэкдор обменивается данными по HTTP, а его поддерживаемые команды включают выполнение произвольных команд, передачу и выполнение и управление файлами. Бэкдору также может быть поручено проверить подключение по предоставленному IP-адресу и номеру порта.
Было замечено, что все семейства вредоносных программ, обнаруженные в среде 3CX, связывались как минимум с четырьмя разными C2-серверами: azureonlinecloud.com, akamaicontainer.com, journalide.org и msboxonline.com.
4 апреля генеральный директор 3CX Ник Галеа в своем сообщении на форуме заявил, что компании известно лишь о «несколько случаях», когда вредоносное ПО было успешно задействовано, и что 3CX активно работает над усилением политик безопасности, методов и технологий для защиты от будущих атак.
В настоящее время не установлено наверняка, как злоумышленникам удалось проникнуть в сеть компании, и какие уязвимости они для этого использовали. Сама компрометация цепочки поставок 3CX отслеживается под идентификатором CVE-2023-29059 .
Наш канал — питательная среда для вашего интеллекта