Теперь точно! Кибератака на 3CX — дело рук северокорейских хакеров

3CX CrowdStrike Лаборатория Касперского Mandiant Lazarus Group Labyrinth Chollima UNC4736 DLL Sideloading C2-сервер
Теперь точно! Кибератака на 3CX — дело рук северокорейских хакеров
3CX CrowdStrike Лаборатория Касперского Mandiant Lazarus Group Labyrinth Chollima UNC4736 DLL Sideloading C2-сервер

Три разные компании по кибербезопасности сошлись во мнениях, сомнений быть не может.

image

Поставщик корпоративных услуг связи 3CX наконец подтвердил, что атака на цепочку поставок, нацеленная на его настольное приложение для Windows и macOS, была делом рук киберпреступников, связанных с Северной Кореей. О самой атаке мы писали в начале прошлой недели.

Стоит отметить, что компания по кибербезопасности CrowdStrike ранее уже приписала атаку подгруппе северокорейской Lazarus Group под названием Labyrinth Chollima. Немного позже во мнениях с CrowdStrike сошлась и Лаборатория Касперского.

Судебное расследование компании Mandiant, к которой и обратилась за помощью в расследовании 3CX, показало, что злоумышленники из UNC4736 (внутреннее название данной группы хакеров) заразили системы 3CX вредоносным ПО под кодовым названием TAXHAUL, предназначенным для расшифровки и загрузки шелл-кода, содержащего «сложный загрузчик», именуемый COLDCAT.

Затем кибербандиты использовали метод DLL Sideloading, чтобы закрепиться в целевой системе. Вредоносная DLL (wlbsctrl.dll) была загружена службой Windows IKE и AuthIP IPsec Keying Modules (IKEEXT) через законный системный процесс svchost.exe.

Mandiant также идентифицировала бэкдор, направленный на macOS, под названием SIMPLESEA. Бэкдор обменивается данными по HTTP, а его поддерживаемые команды включают выполнение произвольных команд, передачу и выполнение и управление файлами. Бэкдору также может быть поручено проверить подключение по предоставленному IP-адресу и номеру порта.

Было замечено, что все семейства вредоносных программ, обнаруженные в среде 3CX, связывались как минимум с четырьмя разными C2-серверами: azureonlinecloud.com, akamaicontainer.com, journalide.org и msboxonline.com.

4 апреля генеральный директор 3CX Ник Галеа в своем сообщении на форуме заявил, что компании известно лишь о «несколько случаях», когда вредоносное ПО было успешно задействовано, и что 3CX активно работает над усилением политик безопасности, методов и технологий для защиты от будущих атак.

В настоящее время не установлено наверняка, как злоумышленникам удалось проникнуть в сеть компании, и какие уязвимости они для этого использовали. Сама компрометация цепочки поставок 3CX отслеживается под идентификатором CVE-2023-29059.