Görünüşe göre Kuzey Koreli siber gangsterler, üretici 3CX’in yazılım telefonu istemcisini manipüle etmeyi ve onu DLL yandan yükleme saldırıları için kullanmayı başardı. Birkaç güvenlik firmasının bildirdiği üzere, yazılım tabanlı telefon geçtiğimiz hafta boyunca gizlice bir komuta ve kontrol sunucuları ağıyla bağlantı kuruyor ve saldırganların etkilenen sistemleri uzaktan kontrol etmesine olanak tanıyor.
Saldırıların erken tespiti konusunda uzman olan CrowdStrike, 29 Mart’ta sistemlerinde 3CX masaüstü istemcisinin ilk şüpheli etkinliğini kaydetti. Bu noktada, yazılım telefonu istemcisi şüpheli davrandığı için Sophos tarafından erken tespit edildi. 22 Mart’ın başlarında, 3CX yazılımı kullanıcıları, Sophos tarafından bildirildiği üzere, bariz yanlış alarmların biriktiğinden şüphelenildiğini bildirdi.
Program, eğitimsiz gözlemciye meşru CDN ve Microsoft adresleri gibi görünen bir dizi etki alanıyla bağlantı kurdu. akamaicontainer.com VEYA azureonlinecloud.com. Gerçekten de, saldırganların komuta merkezleri, telefon yazılımlarına kötü amaçlı kodların (çoğunlukla uzak mermiler) yüklendiği zararsız görünen etki alanlarının arkasına saklanıyor.
Saldırının ağ geçidi, görünüşe göre iki adlandırılmış DLL’nin bulunduğu bir DLL yandan yükleme saldırısıdır. d3dcompiler_47.dll VE ffmpeg.dll Trojan işlevlerine sahip olanlar yeniden yüklenebilir. Özellikle kötü: Trojan DLL, meşru DLL’den de bekleyeceğiniz tüm meşru 3CX işlevlerini içerir – yazılım tamamen işlevsel kalır. Kullanıcılar bu şekilde kendilerini güvende hissetmelidir.
Kuzey Kore’de izler
Bu arada, üretici tepki gösterdi ve etkilenen yazılım sürümleri hakkında bazı ayrıntılar verdi. 18.12.407 ve 18.12.416 sürümleri etkilenir, ancak diğer işletim sistemleri veya Taşınabilir Web Uygulamaları (PWA’lar) etkilenmez. Command&Control alanlarının birçoğu şu anda zaten çevrimdışı, ancak 3CX hala kötü amaçlı yazılımın koda nasıl girdiğini bilmiyor gibi görünüyor. 3CX Telefon Sistemi yöneticilerinin en son bilgiler için 3CX Forumunu kontrol etmeleri önerilir.
Crowdstrike, daha çok “Lazarus Grubu” olarak bilinen “Labirent Chollima” saldırgan grubunu yaratıcı olarak tanımladığına inanıyor. Bu grup, Kuzey Kore rejiminin maaşını alıyor ve diğer Kuzey Koreli bilgisayar korsanlığı grupları gibi, devlet için bir kripto para birimi tedarikçisi olarak çalışıyor ama aynı zamanda casuslukta da aktif.
eleştirilen üretici
Bu, 3CX’in güvenlik sorunları nedeniyle ilk kez eleştirilmesi değil. Bir güvenlik araştırmacısı, bir yıl önce kullanıcı şifrelerinin telefon platformunda düz metin olarak saklandığını ve örneğin yönetici tarafından görüntülenebileceğini ve dışa aktarılabileceğini keşfetti. Görünüşe göre CVE-2021-45491 adlı bu güvenlik sorunu o zamandan beri düzeltilmemiş. Haberler Security Pro forumunda, güvenlik yöneticileri şu anda Alman şirketlerinin bu yazılımı kullanmaya devam etmeleri durumunda karşılaşabilecekleri yasal sonuçları tartışıyorlar (bu foruma erişim için Haberler Security Pro hesabı gerekir).
()
Haberin Sonu
Saldırıların erken tespiti konusunda uzman olan CrowdStrike, 29 Mart’ta sistemlerinde 3CX masaüstü istemcisinin ilk şüpheli etkinliğini kaydetti. Bu noktada, yazılım telefonu istemcisi şüpheli davrandığı için Sophos tarafından erken tespit edildi. 22 Mart’ın başlarında, 3CX yazılımı kullanıcıları, Sophos tarafından bildirildiği üzere, bariz yanlış alarmların biriktiğinden şüphelenildiğini bildirdi.
Program, eğitimsiz gözlemciye meşru CDN ve Microsoft adresleri gibi görünen bir dizi etki alanıyla bağlantı kurdu. akamaicontainer.com VEYA azureonlinecloud.com. Gerçekten de, saldırganların komuta merkezleri, telefon yazılımlarına kötü amaçlı kodların (çoğunlukla uzak mermiler) yüklendiği zararsız görünen etki alanlarının arkasına saklanıyor.
Saldırının ağ geçidi, görünüşe göre iki adlandırılmış DLL’nin bulunduğu bir DLL yandan yükleme saldırısıdır. d3dcompiler_47.dll VE ffmpeg.dll Trojan işlevlerine sahip olanlar yeniden yüklenebilir. Özellikle kötü: Trojan DLL, meşru DLL’den de bekleyeceğiniz tüm meşru 3CX işlevlerini içerir – yazılım tamamen işlevsel kalır. Kullanıcılar bu şekilde kendilerini güvende hissetmelidir.
Kuzey Kore’de izler
Bu arada, üretici tepki gösterdi ve etkilenen yazılım sürümleri hakkında bazı ayrıntılar verdi. 18.12.407 ve 18.12.416 sürümleri etkilenir, ancak diğer işletim sistemleri veya Taşınabilir Web Uygulamaları (PWA’lar) etkilenmez. Command&Control alanlarının birçoğu şu anda zaten çevrimdışı, ancak 3CX hala kötü amaçlı yazılımın koda nasıl girdiğini bilmiyor gibi görünüyor. 3CX Telefon Sistemi yöneticilerinin en son bilgiler için 3CX Forumunu kontrol etmeleri önerilir.
Crowdstrike, daha çok “Lazarus Grubu” olarak bilinen “Labirent Chollima” saldırgan grubunu yaratıcı olarak tanımladığına inanıyor. Bu grup, Kuzey Kore rejiminin maaşını alıyor ve diğer Kuzey Koreli bilgisayar korsanlığı grupları gibi, devlet için bir kripto para birimi tedarikçisi olarak çalışıyor ama aynı zamanda casuslukta da aktif.
eleştirilen üretici
Bu, 3CX’in güvenlik sorunları nedeniyle ilk kez eleştirilmesi değil. Bir güvenlik araştırmacısı, bir yıl önce kullanıcı şifrelerinin telefon platformunda düz metin olarak saklandığını ve örneğin yönetici tarafından görüntülenebileceğini ve dışa aktarılabileceğini keşfetti. Görünüşe göre CVE-2021-45491 adlı bu güvenlik sorunu o zamandan beri düzeltilmemiş. Haberler Security Pro forumunda, güvenlik yöneticileri şu anda Alman şirketlerinin bu yazılımı kullanmaya devam etmeleri durumunda karşılaşabilecekleri yasal sonuçları tartışıyorlar (bu foruma erişim için Haberler Security Pro hesabı gerekir).
()
Haberin Sonu