SolarWinds'i hatırladınız mı? Benzer bir saldırı şu anda yeni bir yazılım tedarikçisine karşı oynanıyor.
Birden fazla güvenlik firmasından araştırmacılar, Kuzey Kore hükümeti adına çalışan bilgisayar korsanlarının, yaygın olarak kullanılan bir sesli ve görüntülü arama masaüstü istemcisi olan 3CX'in Windows ve macOS kullanıcılarına yönelik büyük bir tedarik zinciri saldırısı gerçekleştirdiğini söyledi.
Saldırı, henüz net olmayan yollarla, American Express, Mercedes-Benz ve Price Waterhouse Cooper dahil "600.000'den fazla müşteriye" hem VoIP hem de PBX hizmetleri sağlayan uygulamanın Windows ve macOS sürümlerini dağıtmayı başardı. Saldırganlar bir şekilde, şirketin resmi imzalama anahtarı kullanılarak dijital olarak imzalanan 3CX uygulamalarında kötü amaçlı yazılımları gizleme yeteneği kazandı. macOS güvenlik uzmanı Patrick Wardle'a göre macOS sürümü de Apple tarafından noter tasdiklendi ve bu, şirketin uygulamayı analiz ettiğini ve kötü amaçlı bir işlevsellik tespit etmediğini gösteriyor.
2022'den beri yapım aşamasında
Check Point Software Tehdit İstihbaratı ve Araştırma Direktörü Lotem Finkelstein bir e-postada, "Bu, bir kuruluş ile harici taraflar arasındaki güven ilişkilerinden yararlanmak için tasarlanmış klasik bir tedarik zinciri saldırısıdır" dedi. "Bu, satıcılarla ortaklıkları veya çoğu işletmenin bir şekilde güvendiği üçüncü taraf yazılımların kullanımını içerir. Bu olay, kiminle iş yaptığımızı inceleme açısından gerekli özeni göstermemizin ne kadar kritik olduğunu hatırlatıyor.”
Güvenlik firması CrowdStrike, saldırıda kullanılan altyapı ve şifreleme anahtarının, Kuzey Kore hükümeti ile bağlantılı bir tehdit aktörünün izleme adı olan Labyrinth Chollima tarafından 7 Mart'ta yürütülen bir harekatta görülenlerle eşleştiğini söyledi.
Saldırı, çeşitli güvenlik şirketlerinin ürünlerinin 3CX masaüstü uygulamaları için yasal olarak imzalanmış ikili dosyalardan gelen kötü amaçlı etkinliği tespit etmeye başladığı Çarşamba günü geç saatlerde ortaya çıktı. Sofistike operasyon için hazırlıklar, en geç Şubat 2022'de, tehdit aktörünün virüs bulaşmış cihazlarla iletişim kurmak için kullanılan genişleyen bir etki alanı kümesini kaydetmesiyle başladı. 22 Mart'a kadar, güvenlik firması Sentinel One, 3CXDesktopApp'in davranışsal algılamalarında bir artış gördü. Aynı gün, 3CX kullanıcıları, uç nokta güvenlik uygulamaları tarafından 3CXDesktopApp'in olası yanlış pozitif tespitleri olduğuna inandıkları şeyleri tartışan çevrimiçi ileti dizileri başlattı.
3CX Bilgi Güvenliği Başkanı Pierre Jourdan, 18.12.407 ve 18.12.416 sürüm numaralı Electron Windows Uygulamasının ve Electron Mac Uygulamasının 18.11.1213, 18.12.402, 18.12.407 ve 18.12.416 sürümlerinin bir "güvenlik" içerdiğini doğrulamıştır. sorun." Yüklerin, yazılım geliştiricilerin ürettikleri uygulamalardaki değişiklikleri izlemek için kullandıkları bir sistem olan Git aracılığıyla derlenen paket kitaplıklara eklendiğini söyledi. Yetkili, virüs bulaşmış makinelere ulaşan saldırganların kontrolündeki sunucuların birçoğunun zaten kapatılmış olduğunu da sözlerine ekledi.
Kuyuyu zehirlemek
Olay, Aralık 2020'de tespit edilen ve SolarWinds ağ yönetimi yazılımı kullanıcılarını vuran bir tedarik zinciri saldırısını anımsatıyor. ABD hükümeti ve çok sayıda güvenlik araştırmacısı, saldırıyı Rusya Federal Güvenlik Servisi'nin (FSB) bir parçası olduğuna inanılan bir bilgisayar korsanlığı grubunun takip isimlerinden biri olan Cozy Bear'a bağladı.
3CX'te olduğu gibi, SolarWinds bilgisayar korsanları, yaklaşık 18.000 müşteriye dijital olarak imzalanmış arka kapılı bir güncelleme dağıtmayı başardı. Yaklaşık 100 tanesi, ikinci aşama bir yük yüklemek için arka kapıyı kullanan devam eden saldırılar aldı. Kurbanlar arasında teknoloji şirketleri Malwarebytes, FireEye ve Microsoft; Adalet, Ticaret, Hazine, Enerji ve İç Güvenlik Bakanlıkları dahil olmak üzere 10 ABD devlet kurumu ve düşünce kuruluşları ve STK'lar, bilgisayar korsanlığı kampanyasını modern ABD tarihinin en kötüleri arasında yapıyor.
Symantec'in ön analizi, Windows ve Mac için güvenliği ihlal edilmiş yükleyicilerin, uygulamanın tüm normal işlevleriyle birlikte temiz sürümlerini içerdiğini ve son kullanıcıların herhangi bir şeyin yanlış olduğundan şüphelenmesini engellediğini gösteriyor. Sophos, saldırganların DLL Sideloading olarak bilinen ve kötü amaçlı işlevsellik ekleyen bir teknik aracılığıyla ek bir yük eklediğini söyledi.
Yük şifrelendi ve tespit veya analizi önlemek için tasarlanmış diğer savunmaları içeriyordu. CrowdStrike, virüslü makinelerin aktör tarafından kontrol edilen sunuculara işaret etmesine ve bilinmeyen kriterlere bağlı olarak ikinci aşama yüklerin belirli hedeflere konuşlandırılmasına neden oluyor. Birkaç vakada, saldırganlar virüs bulaşmış makinelerde "klavyede uygulamalı etkinlik" gerçekleştirdi.
CheckPoint araştırmacıları, Truva Atılaştırılmış Windows sürümleri söz konusu olduğunda, saldırganların ffmmpeg.dll adlı kötü amaçlı bir dosyayı yüklemek için 3CX anahtarıyla imzalanmış bir MSI yürütülebilir dosyası kullandığını söyledi. Dosya, d3dcompiler_47.dll adlı başka bir dosyadan şifrelenmiş verileri okuyacak şekilde değiştirildi. Bu ikinci dosya, saldırganların bir GitHub arşivinde depoladığı URL'lerin kodlanmış bir listesini çıkardı. DLL dosyası daha sonra listeyi, URL'lerin birinden son bir yükü indirmek ve çalıştırmak için kullandı.
CheckPoint araştırmacıları, "GitHub ile iletişimle ilgili önemli nokta, GitHub'a yapılan istek gerçekleşmeden önce kodda bir haftalık gecikmenin ayarlanmış olmasıdır." "Bu adım nihayet tamamlandıktan sonra, son yük bu URL'lerin birinden indirilir ve yürütülür."
CheckPoint, Windows bulaşma zincirinin aşağıdaki örneğini sağlamıştır:
3CX kullanan herhangi bir kuruluş, uzlaşma belirtileri aramak için derhal ağ altyapısını analiz etmeye başlamalıdır. CrowdStrike, tüm 3CX kullanıcılarının incelemeler devam ederken en azından geçici olarak yazılımı kullanmayı bırakmalarını önerir. Sophos, ağların tehdit aktörü altyapısıyla iletişim kurup kurmadığını belirleyecek bir komut dosyası sağladı. Sophos ve diğer firmalar ayrıca 3CX kullanıcılarının kullanabileceği etki alanları, dosya karmaları ve diğer uzlaşma göstergelerini yayınladı.
Tags:
Bilgi Teknolojisi