bencede
New member
Siber davetsiz misafirler, 3CX’in yaygın olarak kullanılan VoIP yazılımına yönelik bir tedarik zinciri saldırısında kötü amaçlı kod eklemeyi başardıktan sonra, Mandiant’ın BT güvenlik uzmanları şimdi araştırmalarının ilk sonuçlarına ulaşıyor. Üretici, ağ ve ürünlerin adli tıp analizinin halen devam ettiğini açıklıyor.
Müşteri Analizi: Saldırganların Kuzey Kore’den olması muhtemel
Şimdiye kadar siber güvenlik firmaları, Lazarus siber çetesiyle bağlantıları olan Kuzey Koreli saldırganları işe aldı. Mandiant ayrıca suçluyu izole edilmiş diktatörlükte görüyor, ancak suç örgütünü UNC4736 olarak adlandırıyor. 3CX’in bir blog gönderisinde açıkladığı gibi, Mandiant’ın araştırması, 3CX yazılımı çalıştıran Windows sistemlerine TxRLoader olarak da bilinen Taxhaul kötü amaçlı yazılımının bulaştığını ortaya çıkardı.
İçeride, ayrı anahtarlarla her bulaşma için gerçek şifrelemeyle şifrelenmiş kabuk kodu bulunur. Kabuk kodu, Mandiant’ın Coldcat adını verdiği karmaşık bir indiricidir. Taxhaul, sözde DLL yandan yükleme yoluyla kalıcılığa ulaşır: DLL, meşru arama yolunda başka bir “gerçek” DLL adıyla gizlenir ve bunun yerine yüklenir.
macOS kötü amaçlı yazılımı, Mandiant’ın Simplesea adını verdiği bir arka kapıdır. Parazitin analizi halen devam ediyor. C ile yazılmıştır ve kabuk komut yürütme, dosya aktarımı, dosya yürütme, dosya yönetimi ve yapılandırma güncellemeleri için arka kapı komutlarını destekler. Simplesea ayrıca IP ve port numaraları için bir bağlantı testi sağlar. İlk çalıştırmada, kötü amaçlı yazılım, işlem kimliğinden bir bot kimliği oluşturur ve bunu bağlantılar üzerinden Komuta ve Kontrol (C&C) sunucusuna gönderir. C&C ile iletişim sırasında mesaj içeriği, GSM mobil radyo standardına ait A5 akış şifresi ile şifrelenir.
Blog gönderisinde 3CX, vergi amaçlı kötü amaçlı yazılımları tespit etmek için tasarlanmış bir YARA kuralını listeler. Şirket ayrıca yanlış alarmların tetiklenmemesi için kuralın önce bir test ortamında değerlendirilmesi gerektiği konusunda da uyarıda bulunuyor. Komuta ve kontrol sunucusuyla iletişim kuran bir bulaşmaya ilişkin ek belirtiler (tehlike belirtileri, IOC)
Alternatif: Aşamalı Web Uygulamaları (PWA)
Bildiğimiz kadarıyla, 3CX Aşamalı Web Uygulaması (PWA) virüslü veya bulaşıcı değildi. Bu nedenle, üretici bunları kullanmanızı önerir. Başka bir blog gönderisinde 3CX, şu anda QA kapsamındaki güncellemenin tam bir güvenlik sürümü olduğunu da açıklıyor. Web parolaları artık hashing işlemi uygulanıyor ve düz metin olarak depolanmıyor: önceden yönetici hakları gerektirerek yetkisiz erişime karşı korunuyorlardı, ancak geliştiriciler artık CVE-2021-45491’de şikayet edilen sorunu “kötü uygulama” olarak düzelttiler.
Ancak 3CX, bunu açıkça yalnızca web istemcisi oturum açma işlemi için geçerli olacak şekilde kısıtlar. “Geriye dönük uyumluluk için, SIP kimlik doğrulama kimliğinizi ve parolanızı, SIP ana hat ve ağ geçidi parolalarınızı veya tünel parolalarınızı karma haline getirmeyeceğiz. Güvenliği ihlal edilirse, bu kimlik bilgileri yalnızca PBX’te arama erişimi elde etmek için kullanılabilir. Bu kullanıcı kimlik bilgileri kullanılamaz. PBX’e erişmek için. Gelecekteki yapılarda, bu parolaları da karma hale getireceğiz” diye yazıyor üretici.
Mart ayı sonlarında, 3CX’in, şirketin VoIP yazılımının kötü amaçlı kod dağıtmasıyla sonuçlanan bir tedarik zinciri saldırısının kurbanı olduğu açıklandı. Ertesi gün, BSI uyarı seviyesini “3/Turuncu”ya yükseltti, “BT tehdidi durumu iş açısından kritik. Normal operasyonlar ciddi şekilde etkilendi”, 3CX ise başlangıçta reddetti ve etkilenen sistemlerin büyük çoğunluğuna “aslında hiçbir zaman virüs bulaşmadığı” konusunda güvence verdi. “. Geçen hafta Kaspersky, izole edilmiş Gopuram arka kapısının kurulumlarını gözlemledi: Çoğu kripto para şirketlerinde olmak üzere bir düzine sistem neredeyse cerrahi bir hassasiyetle tanımlandı.
(dmk)
Haberin Sonu
Müşteri Analizi: Saldırganların Kuzey Kore’den olması muhtemel
Şimdiye kadar siber güvenlik firmaları, Lazarus siber çetesiyle bağlantıları olan Kuzey Koreli saldırganları işe aldı. Mandiant ayrıca suçluyu izole edilmiş diktatörlükte görüyor, ancak suç örgütünü UNC4736 olarak adlandırıyor. 3CX’in bir blog gönderisinde açıkladığı gibi, Mandiant’ın araştırması, 3CX yazılımı çalıştıran Windows sistemlerine TxRLoader olarak da bilinen Taxhaul kötü amaçlı yazılımının bulaştığını ortaya çıkardı.
İçeride, ayrı anahtarlarla her bulaşma için gerçek şifrelemeyle şifrelenmiş kabuk kodu bulunur. Kabuk kodu, Mandiant’ın Coldcat adını verdiği karmaşık bir indiricidir. Taxhaul, sözde DLL yandan yükleme yoluyla kalıcılığa ulaşır: DLL, meşru arama yolunda başka bir “gerçek” DLL adıyla gizlenir ve bunun yerine yüklenir.
macOS kötü amaçlı yazılımı, Mandiant’ın Simplesea adını verdiği bir arka kapıdır. Parazitin analizi halen devam ediyor. C ile yazılmıştır ve kabuk komut yürütme, dosya aktarımı, dosya yürütme, dosya yönetimi ve yapılandırma güncellemeleri için arka kapı komutlarını destekler. Simplesea ayrıca IP ve port numaraları için bir bağlantı testi sağlar. İlk çalıştırmada, kötü amaçlı yazılım, işlem kimliğinden bir bot kimliği oluşturur ve bunu bağlantılar üzerinden Komuta ve Kontrol (C&C) sunucusuna gönderir. C&C ile iletişim sırasında mesaj içeriği, GSM mobil radyo standardına ait A5 akış şifresi ile şifrelenir.
Blog gönderisinde 3CX, vergi amaçlı kötü amaçlı yazılımları tespit etmek için tasarlanmış bir YARA kuralını listeler. Şirket ayrıca yanlış alarmların tetiklenmemesi için kuralın önce bir test ortamında değerlendirilmesi gerektiği konusunda da uyarıda bulunuyor. Komuta ve kontrol sunucusuyla iletişim kuran bir bulaşmaya ilişkin ek belirtiler (tehlike belirtileri, IOC)
- azureonlinebulut[.]iletişim
- akamaicontainer[.]iletişim
- gazetecilik[.]org
- msboxonline[.]iletişim
Alternatif: Aşamalı Web Uygulamaları (PWA)
Bildiğimiz kadarıyla, 3CX Aşamalı Web Uygulaması (PWA) virüslü veya bulaşıcı değildi. Bu nedenle, üretici bunları kullanmanızı önerir. Başka bir blog gönderisinde 3CX, şu anda QA kapsamındaki güncellemenin tam bir güvenlik sürümü olduğunu da açıklıyor. Web parolaları artık hashing işlemi uygulanıyor ve düz metin olarak depolanmıyor: önceden yönetici hakları gerektirerek yetkisiz erişime karşı korunuyorlardı, ancak geliştiriciler artık CVE-2021-45491’de şikayet edilen sorunu “kötü uygulama” olarak düzelttiler.
Ancak 3CX, bunu açıkça yalnızca web istemcisi oturum açma işlemi için geçerli olacak şekilde kısıtlar. “Geriye dönük uyumluluk için, SIP kimlik doğrulama kimliğinizi ve parolanızı, SIP ana hat ve ağ geçidi parolalarınızı veya tünel parolalarınızı karma haline getirmeyeceğiz. Güvenliği ihlal edilirse, bu kimlik bilgileri yalnızca PBX’te arama erişimi elde etmek için kullanılabilir. Bu kullanıcı kimlik bilgileri kullanılamaz. PBX’e erişmek için. Gelecekteki yapılarda, bu parolaları da karma hale getireceğiz” diye yazıyor üretici.
Mart ayı sonlarında, 3CX’in, şirketin VoIP yazılımının kötü amaçlı kod dağıtmasıyla sonuçlanan bir tedarik zinciri saldırısının kurbanı olduğu açıklandı. Ertesi gün, BSI uyarı seviyesini “3/Turuncu”ya yükseltti, “BT tehdidi durumu iş açısından kritik. Normal operasyonlar ciddi şekilde etkilendi”, 3CX ise başlangıçta reddetti ve etkilenen sistemlerin büyük çoğunluğuna “aslında hiçbir zaman virüs bulaşmadığı” konusunda güvence verdi. “. Geçen hafta Kaspersky, izole edilmiş Gopuram arka kapısının kurulumlarını gözlemledi: Çoğu kripto para şirketlerinde olmak üzere bir düzine sistem neredeyse cerrahi bir hassasiyetle tanımlandı.
(dmk)
Haberin Sonu