Компрометация цепочки поставок программного обеспечения 3CX, инициированная предыдущим взломом цепочки поставок программного обеспечения; Ответственен предполагаемый северокорейский актер

В марте 2023 года Mandiant Consulting отреагировала на компрометацию цепочки поставок, которая затронула программное обеспечение 3CX Desktop App. В ходе этого ответа компания Mandiant определила, что первоначальным вектором компрометации сети 3CX было вредоносное программное обеспечение, загруженное с веб-сайта Trading Technologies. Впервые компания Mandiant увидела, как атака на цепочку поставок программного обеспечения привела к еще одной атаке на цепочку поставок программного обеспечения.

3CX Desktop App — это корпоративное программное обеспечение, которое обеспечивает связь для своих пользователей, включая чат, видеозвонки и голосовые вызовы. В конце марта 2023 года в результате взлома цепочки поставок программного обеспечения вредоносное ПО распространилось через зараженную троянами версию законного программного обеспечения 3CX, которую можно было загрузить с их веб-сайта. Затронутым программным обеспечением было 3CX DesktopApp 18.12.416 и более ранние версии, содержащее вредоносный код, запускавший загрузчик SUDDENICON, который, в свою очередь, получал дополнительные серверы управления и контроля (C2) из ​​зашифрованных файлов значков, размещенных на GitHub. Расшифрованный сервер C2 использовался для загрузки третьего этапа, известного как ICONICSTEALER, — майнера данных, который крадет информацию браузера. Mandiant отслеживает эту активность как UNC4736, предположительно северокорейский кластер активности.

Расследование компании Mandiant Consulting компрометации цепочки поставок 3CX выявило первоначальный вектор вторжения: пакет программного обеспечения, содержащий вредоносное ПО, распространявшийся через более раннюю компрометацию цепочки поставок программного обеспечения, которая началась с подделанного установщика X_TRADER, пакета программного обеспечения, предоставленного Trading Technologies (рис. 1). . Компания Mandiant определила, что сложный процесс загрузки привел к развертыванию VEILEDSIGNAL, многоэтапного модульного бэкдора, и его модулей.

Компания Mandiant Consulting обнаружила установщик с именем файла X_TRADER_r7.17.90p608.exe (MD5: ef4ab22e565684424b4142b1294f1f4d), что привело к развертыванию вредоносного модульного бэкдора: VEILEDSIGNAL.

Хотя платформа X_TRADER, как сообщается, была прекращена в 2020 году, она все еще была доступна для загрузки с законного веб-сайта Trading Technologies в 2022 году. Этот файл был подписан с темой «Trading Technologies International, Inc» и содержал исполняемый файл Setup.exe, который также был подписано тем же цифровым сертификатом. Срок действия сертификата подписи кода, используемого для цифровой подписи вредоносного программного обеспечения, истекает в октябре 2022 года.

Установщик содержит и запускает файл Setup.exe, который удаляет две зараженные троянами библиотеки DLL и безопасный исполняемый файл. Setup.exe использует безопасный исполняемый файл для загрузки одной из вредоносных библиотек DLL. При боковой загрузке используются законные исполняемые файлы Windows для загрузки и выполнения вредоносного файла, замаскированного под законную зависимость. Загруженные вредоносные библиотеки DLL содержат и используют SIGFLIP и DAVESHELL для расшифровки и загрузки полезных данных в память из другого удаленного вредоносного исполняемого файла. SIGFLIP использует потоковый шифр RC4 для расшифровки выбранной полезной нагрузки и использует последовательность байтов FEEDFACE для поиска шелл-кода, в данном случае DAVESHELL, на этапе расшифровки.

SIGFLIP и DAVESHELL извлекают и запускают модульный бэкдор VEILEDSIGNAL и два соответствующих модуля. VEILEDSIGNAL использует два извлеченных модуля для внедрения процессов и связи с сервером C2.

VEILEDSIGNAL и два сопутствующих компонента обеспечивают следующие функциональные возможности:

Конфигурация C2 идентифицированного образца VEILEDSIGNAL (MD5: c6441c961dcad0fe127514a918eaabd4) основывалась на следующем жестко запрограммированном URL-адресе: www.tradingtechnologies[.]com/trading/order-management.

Скомпрометированные приложения X_TRADER и 3CXDesktopApp содержат, извлекают и запускают полезную нагрузку одинаковым образом, хотя конечная полезная нагрузка различна. Компания Mandiant проанализировала эти образцы и обнаружила следующие сходства:

Злоумышленник использовал скомпилированную версию общедоступного проекта Fast Reverse Proxy, чтобы перемещаться внутри организации 3CX во время атаки. Файл MsMpEng.exe (MD5: 19dbffec4e359a198daf4ffca1ab9165) был переброшен злоумышленником в папку C:\Windows\System32.