Новости Теперь точно! Кибератака на 3CX — дело рук северокорейских хакеров

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022
Три разные компании по кибербезопасности сошлись во мнениях, сомнений быть не может.


a5hhm0ix6kzv6aj4cmjsmuvgqlkhgxyb.jpg


Поставщик корпоративных услуг связи 3CX Для просмотра ссылки Войди или Зарегистрируйся , что атака на цепочку поставок, нацеленная на его настольное приложение для Windows и macOS, была делом рук киберпреступников, связанных с Северной Кореей. О самой атаке Для просмотра ссылки Войди или Зарегистрируйся в начале прошлой недели.

Стоит отметить, что компания по кибербезопасности CrowdStrike ранее уже Для просмотра ссылки Войди или Зарегистрируйся атаку подгруппе северокорейской Lazarus Group под названием Labyrinth Chollima. Немного позже во мнениях с CrowdStrike Для просмотра ссылки Войди или Зарегистрируйся и Лаборатория Касперского.

Судебное расследование компании Mandiant , к которой и обратилась за помощью в расследовании 3CX, показало, что злоумышленники из UNC4736 (внутреннее название данной группы хакеров) заразили системы 3CX вредоносным ПО под кодовым названием TAXHAUL, предназначенным для расшифровки и загрузки шелл-кода, содержащего «сложный загрузчик», именуемый COLDCAT.

Затем кибербандиты использовали метод DLL Sideloading , чтобы закрепиться в целевой системе. Вредоносная DLL (wlbsctrl.dll) была загружена службой Windows IKE и AuthIP IPsec Keying Modules (IKEEXT) через законный системный процесс svchost.exe.

Mandiant также идентифицировала бэкдор, направленный на macOS, под названием SIMPLESEA. Бэкдор обменивается данными по HTTP, а его поддерживаемые команды включают выполнение произвольных команд, передачу и выполнение и управление файлами. Бэкдору также может быть поручено проверить подключение по предоставленному IP-адресу и номеру порта.

Было замечено, что все семейства вредоносных программ, обнаруженные в среде 3CX, связывались как минимум с четырьмя разными C2-серверами: azureonlinecloud.com, akamaicontainer.com, journalide.org и msboxonline.com.

4 апреля генеральный директор 3CX Ник Галеа в своем сообщении на форуме заявил, что компании известно лишь о «несколько случаях», когда вредоносное ПО было успешно задействовано, и что 3CX активно работает над усилением политик безопасности, методов и технологий для защиты от будущих атак.

В настоящее время не установлено наверняка, как злоумышленникам удалось проникнуть в сеть компании, и какие уязвимости они для этого использовали. Сама компрометация цепочки поставок 3CX отслеживается под идентификатором Для просмотра ссылки Войди или Зарегистрируйся .
 
Источник новости
www.securitylab.ru

Похожие темы