hadicanim
Aktif Üye
Siber davetsiz misafirler, 3CX’in yaygın olarak kullanılan VoIP yazılımına yönelik bir tedarik zinciri saldırısında kötü amaçlı kod yerleştirmeyi başardıktan sonra, Mandiant’ın BT güvenlik uzmanları şimdi araştırmalarının ilk sonuçlarına varıyorlar. Üretici, ağın ve ürünlerin adli tıp analizinin halen devam ettiğini açıklıyor.
İstemci Analizi: Saldırganların Kuzey Kore’den olması muhtemel
Şimdiye kadar BT güvenlik şirketleri, Lazarus siber çetesiyle bağlantıları olan Kuzey Koreli saldırganları ele geçirdi. Mandiant ayrıca suçluyu izole edilmiş diktatörlükte görüyor, ancak suç örgütünü UNC4736 olarak adlandırıyor. 3CX’in bir blog gönderisinde açıkladığı gibi, Mandiant’ın araştırması, 3CX yazılımı çalıştıran Windows sistemlerine TxRLoader olarak da bilinen Taxhaul kötü amaçlı yazılımının bulaştığını ortaya çıkardı.
İçeride, ayrı anahtarlarla her enfeksiyon için gerçek kriptografi ile şifrelenmiş kabuk kodu bulunur. Kabuk kodu, Mandiant’ın Coldcat adını verdiği karmaşık bir indiricidir. Taxhaul, DLL yandan yükleme adı verilen yöntemle kalıcılığa ulaşır – DLL, meşru arama yolunda başka bir “gerçek” DLL adıyla gizlenir ve yerine yüklenir.
macOS kötü amaçlı yazılımı, Mandiant’ın Simplesea adını verdiği bir arka kapıdır. Zararlının analizi halen devam etmektedir. C ile yazılmıştır ve kabuk komutlarını yürütmek, dosya aktarımı, dosyaları yürütmek, dosya yönetimi ve yapılandırma güncellemeleri için arka kapı komutlarını destekler. Simplesea, IP ve bağlantı noktası numaraları için bir bağlantı testi bile sağlar. İlk çalıştırmada, kötü amaçlı yazılım, işlem kimliğinden bir bot kimliği oluşturur ve bunu Komuta ve Kontrol (C&C) sunucusuna bağlantılarda gönderir. C&C ile iletişim kurarken mesaj içeriği, GSM mobil radyo standardına ait olan akış şifresi A5 ile şifrelenir.
Blog gönderisinde 3CX, vergi taşımacılığına yönelik kötü amaçlı yazılımları tespit etmek için tasarlanmış bir YARA kuralını listeler. Şirket ayrıca yanlış alarmların tetiklenmemesi için kuralın önce bir test ortamında değerlendirilmesi gerektiği konusunda da uyarıda bulunuyor. Komuta ve kontrol sunucusuyla iletişim kuran bir bulaşmanın diğer belirtileri (Uzlaşma Göstergeleri, IOC’ler)
Alternatif: Aşamalı Web Uygulaması (PWA)
Bildiğimiz kadarıyla, 3CX’in Progresif Web Uygulaması (PWA) virüslü veya bulaşıcı değildi. Bu nedenle, üretici bunları kullanmanızı önerir. Başka bir blog gönderisinde 3CX, şu anda kalite güvencesinden geçen güncellemenin kapsamlı bir güvenlik sürümü olduğunu da açıklıyor. Web parolaları artık hashing işlemi uygulanıyor ve düz metin olarak depolanmıyor – önceden yönetici hakları gerektirerek yetkisiz erişime karşı korunuyorlardı, ancak geliştiriciler artık CVE-2021-45491’de şikayet edilen sorunu “kötü uygulama” olarak düzelttiler.
Ancak 3CX, bunun yalnızca web istemcisi oturum açma için geçerli olduğunu açıkça kısıtlar. “Geriye dönük uyumluluk için, SIP kimlik doğrulama kimliğini ve parolasını, SIP ana hat ve ağ geçidi parolalarını veya tünel parolalarını karma hale getirmeyeceğiz. Saldırı durumunda, bu kimlik bilgileri yalnızca PBX’teki aramalara erişim elde etmek için kullanılabilir. Bu kullanıcı kimlik bilgileri kullanılamaz PBX’te oturum açmak için. Gelecekteki yapılarda, bu parolaları da karma hale getireceğiz” diye yazıyor üretici.
Mart ayının sonunda, 3CX’in, şirketin VoIP yazılımının kötü amaçlı kod dağıtmasıyla sonuçlanan bir tedarik zinciri saldırısının kurbanı olduğu açıklandı. Ertesi gün, BSI uyarı seviyesini “3 / Turuncu”ya yükseltti, “BT tehdidi durumu iş açısından kritik. Normal operasyonlarda büyük bozulma”, 3CX ise başlangıçta reddetti ve etkilenen sistemlerin büyük çoğunluğunun ” aslında hiç bulaşmadı”. Geçen hafta Kaspersky, izole edilmiş Gopuram arka kapısının kurulumlarını gözlemledi – özellikle kripto endüstrisindeki şirketlerde, neredeyse cerrahi bir hassasiyetle yaklaşık on sistem bunun için seçildi.
(dmk)
Haberin Sonu
İstemci Analizi: Saldırganların Kuzey Kore’den olması muhtemel
Şimdiye kadar BT güvenlik şirketleri, Lazarus siber çetesiyle bağlantıları olan Kuzey Koreli saldırganları ele geçirdi. Mandiant ayrıca suçluyu izole edilmiş diktatörlükte görüyor, ancak suç örgütünü UNC4736 olarak adlandırıyor. 3CX’in bir blog gönderisinde açıkladığı gibi, Mandiant’ın araştırması, 3CX yazılımı çalıştıran Windows sistemlerine TxRLoader olarak da bilinen Taxhaul kötü amaçlı yazılımının bulaştığını ortaya çıkardı.
İçeride, ayrı anahtarlarla her enfeksiyon için gerçek kriptografi ile şifrelenmiş kabuk kodu bulunur. Kabuk kodu, Mandiant’ın Coldcat adını verdiği karmaşık bir indiricidir. Taxhaul, DLL yandan yükleme adı verilen yöntemle kalıcılığa ulaşır – DLL, meşru arama yolunda başka bir “gerçek” DLL adıyla gizlenir ve yerine yüklenir.
macOS kötü amaçlı yazılımı, Mandiant’ın Simplesea adını verdiği bir arka kapıdır. Zararlının analizi halen devam etmektedir. C ile yazılmıştır ve kabuk komutlarını yürütmek, dosya aktarımı, dosyaları yürütmek, dosya yönetimi ve yapılandırma güncellemeleri için arka kapı komutlarını destekler. Simplesea, IP ve bağlantı noktası numaraları için bir bağlantı testi bile sağlar. İlk çalıştırmada, kötü amaçlı yazılım, işlem kimliğinden bir bot kimliği oluşturur ve bunu Komuta ve Kontrol (C&C) sunucusuna bağlantılarda gönderir. C&C ile iletişim kurarken mesaj içeriği, GSM mobil radyo standardına ait olan akış şifresi A5 ile şifrelenir.
Blog gönderisinde 3CX, vergi taşımacılığına yönelik kötü amaçlı yazılımları tespit etmek için tasarlanmış bir YARA kuralını listeler. Şirket ayrıca yanlış alarmların tetiklenmemesi için kuralın önce bir test ortamında değerlendirilmesi gerektiği konusunda da uyarıda bulunuyor. Komuta ve kontrol sunucusuyla iletişim kuran bir bulaşmanın diğer belirtileri (Uzlaşma Göstergeleri, IOC’ler)
- azureonlinebulut[.]iletişim
- akamaicontainer[.]iletişim
- gazetecilik[.]org
- msboxonline[.]iletişim
Alternatif: Aşamalı Web Uygulaması (PWA)
Bildiğimiz kadarıyla, 3CX’in Progresif Web Uygulaması (PWA) virüslü veya bulaşıcı değildi. Bu nedenle, üretici bunları kullanmanızı önerir. Başka bir blog gönderisinde 3CX, şu anda kalite güvencesinden geçen güncellemenin kapsamlı bir güvenlik sürümü olduğunu da açıklıyor. Web parolaları artık hashing işlemi uygulanıyor ve düz metin olarak depolanmıyor – önceden yönetici hakları gerektirerek yetkisiz erişime karşı korunuyorlardı, ancak geliştiriciler artık CVE-2021-45491’de şikayet edilen sorunu “kötü uygulama” olarak düzelttiler.
Ancak 3CX, bunun yalnızca web istemcisi oturum açma için geçerli olduğunu açıkça kısıtlar. “Geriye dönük uyumluluk için, SIP kimlik doğrulama kimliğini ve parolasını, SIP ana hat ve ağ geçidi parolalarını veya tünel parolalarını karma hale getirmeyeceğiz. Saldırı durumunda, bu kimlik bilgileri yalnızca PBX’teki aramalara erişim elde etmek için kullanılabilir. Bu kullanıcı kimlik bilgileri kullanılamaz PBX’te oturum açmak için. Gelecekteki yapılarda, bu parolaları da karma hale getireceğiz” diye yazıyor üretici.
Mart ayının sonunda, 3CX’in, şirketin VoIP yazılımının kötü amaçlı kod dağıtmasıyla sonuçlanan bir tedarik zinciri saldırısının kurbanı olduğu açıklandı. Ertesi gün, BSI uyarı seviyesini “3 / Turuncu”ya yükseltti, “BT tehdidi durumu iş açısından kritik. Normal operasyonlarda büyük bozulma”, 3CX ise başlangıçta reddetti ve etkilenen sistemlerin büyük çoğunluğunun ” aslında hiç bulaşmadı”. Geçen hafta Kaspersky, izole edilmiş Gopuram arka kapısının kurulumlarını gözlemledi – özellikle kripto endüstrisindeki şirketlerde, neredeyse cerrahi bir hassasiyetle yaklaşık on sistem bunun için seçildi.
(dmk)
Haberin Sonu