Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Compromisso da Cadeia de Fornecimento de Software 3CX Iniciado por um Compromisso Anterior da Cadeia de Fornecimento de Software; Suspeito ator norte-coreano responsável
Em março de 2023, a Mandiant Consulting respondeu a um comprometimento da cadeia de suprimentos que afetou o software 3CX Desktop App. Durante esta resposta, a Mandiant identificou que o vetor de comprometimento inicial da rede da 3CX era por meio de um software malicioso baixado do site da Trading Technologies. Esta é a primeira vez que a Mandiant vê um ataque à cadeia de suprimentos de software levar a outro ataque à cadeia de suprimentos de software.
O 3CX Desktop App é um software empresarial que fornece comunicações para seus usuários, incluindo bate-papo, chamadas de vídeo e chamadas de voz. No final de março de 2023, um comprometimento da cadeia de suprimentos de software espalhou malware por meio de uma versão trojanizada do software legítimo da 3CX que estava disponível para download em seu site. O software afetado foi o 3CX DesktopApp 18.12.416 e anterior, que continha código malicioso que executava um downloader, SUDDENICON, que por sua vez recebia comandos adicionais e servidores de controle (C2) de arquivos de ícones criptografados hospedados no GitHub. O servidor C2 descriptografado foi usado para baixar um terceiro estágio identificado como ICONICSTEALER, um minerador de dados que rouba informações do navegador. A Mandiant rastreia essa atividade como UNC4736, um suposto agrupamento de atividade do nexo norte-coreano.
A investigação da Mandiant Consulting sobre o comprometimento da cadeia de suprimentos 3CX descobriu o vetor de invasão inicial: um pacote de software com malware distribuído por meio de um comprometimento anterior da cadeia de suprimentos de software que começou com um instalador adulterado do X_TRADER, um pacote de software fornecido pela Trading Technologies (Figura 1) . A Mandiant determinou que um complexo processo de carregamento levou à implantação do VEILEDSIGNAL, um backdoor modular de vários estágios e seus módulos.
A Mandiant Consulting identificou um instalador com o nome de arquivo X_TRADER_r7.17.90p608.exe (MD5: ef4ab22e565684424b4142b1294f1f4d) que levou à implantação de um backdoor modular malicioso: VEILEDSIGNAL.
Embora a plataforma X_TRADER tenha sido descontinuada em 2020, ela ainda estava disponível para download no site legítimo da Trading Technologies em 2022. Este arquivo foi assinado com o assunto "Trading Technologies International, Inc" e continha o arquivo executável Setup.exe que também foi assinados com o mesmo certificado digital. O certificado de assinatura de código usado para assinar digitalmente o software malicioso foi definido para expirar em outubro de 2022.
O instalador contém e executa o Setup.exe, que descarta duas DLLs trojanizadas e um executável benigno. Setup.exe usa o executável benigno para carregar uma das DLLs maliciosas. O carregamento lateral depende de executáveis legítimos do Windows para carregar e executar um arquivo malicioso que foi disfarçado como uma dependência legítima. As DLLs maliciosas carregadas contêm e usam SIGFLIP e DAVESHELL para descriptografar e carregar a carga na memória do outro executável malicioso descartado. O SIGFLIP depende da cifra de fluxo RC4 para descriptografar a carga útil de sua escolha e usa a sequência de bytes FEEDFACE para encontrar o shellcode, neste caso DAVESHELL, durante o estágio de descriptografia.
SIGFLIP e DAVESHELL extraem e executam um backdoor modular, VEILEDSIGNAL, e dois módulos correspondentes. O VEILEDSIGNAL conta com os dois módulos extraídos para injeção de processo e comunicação com o servidor C2.
O VEILEDSIGNAL e os dois componentes que o acompanham fornecem a seguinte funcionalidade:
A configuração C2 da amostra identificada de VEILEDSIGNAL (MD5: c6441c961dcad0fe127514a918eaabd4) baseou-se no seguinte URL codificado: www.tradingtechnologies[.]com/trading/order-management.
Os aplicativos comprometidos X_TRADER e 3CXDesktopApp contêm, extraem e executam uma carga útil da mesma maneira, embora a carga final seja diferente. Mandiant analisou essas amostras e observou as seguintes semelhanças:
O invasor usou uma versão compilada do projeto Fast Reverse Proxy disponível publicamente, para se mover lateralmente dentro da organização 3CX durante o ataque. O arquivo MsMpEng.exe (MD5: 19dbffec4e359a198daf4ffca1ab9165) foi descartado em C:\Windows\System32 pelo agente da ameaça.