April 24, 2024

Kami menemukan beberapa detail baru yang luar biasa minggu ini sehubungan dengan serangan rantai pasokan baru-baru ini terhadap penyedia perangkat lunak VoIP 3CX. Intrusi yang berkepanjangan dan canggih memiliki semua bakat tiktok88 login untuk menjadi novel mata-mata cyberpunk: peretas Korea Utara menggunakan legiun akun pemerintah palsu di LinkedIn untuk memikat orang agar membuka malware yang disamarkan sebagai tawaran pekerjaan; malware yang berkonsentrasi pada pelanggan Mac dan Linux yang bekerja di perusahaan perlindungan dan cryptocurrency; dan serangan rantai pasokan perangkat lunak yang bersarang di dalam serangan rantai pasokan sebelumnya.

Para peneliti di ESET mengatakan tawaran pekerjaan ini dari perekrut HSBC palsu di LinkedIn adalah malware Korea Utara yang menyamar sebagai file PDF.

Pada akhir Maret 2023, 3CX mengungkapkan bahwa aplikasi desktopnya untuk Windows dan macOS telah disusupi dengan kode berbahaya yang memberi penyerang kemampuan untuk mengunduh dan menjalankan kode di semua perangkat tempat aplikasi diinstal. 600.000 pelanggan dan 12 juta pelanggan di berbagai industri, termasuk kedirgantaraan, perawatan kesehatan, dan perhotelan.

3CX mempekerjakan agen tanggap insiden Mandiant , yang merilis laporan pada hari Rabu yang mengatakan bahwa kompromi dimulai pada tahun 2022 ketika seorang karyawan 3CX memasukkan paket perangkat lunak yang mengandung malware yang didistribusikan melalui perangkat lunak sebelumnya yang menyediakan kompromi berantai yang dimulai dengan penginstal yang dirusak untuk X_TRADER , paket program perangkat lunak yang ditawarkan oleh Jual Beli Ilmu Terapan .

“Ini adalah pertama kalinya Mandiant melihat program perangkat lunak memberikan hasil serangan berantai di program perangkat lunak lain memberikan serangan berantai,” membaca laporan Mandiant 20 April .

Mandiant menemukan bukti penyusupan paling awal yang terungkap dalam komunitas 3CX adalah melalui VPN yang menggunakan kredensial perusahaan pekerja, dua hari setelah komputer pribadi pekerja disusupi.

“Akhirnya, pelaku risiko dapat mengkompromikan lingkungan konstruksi Windows dan macOS,” kata 3CX dalam pembaruan 20 April di blog mereka .

Mandiant menyimpulkan bahwa serangan 3CX didalangi oleh kelompok peretasan yang disponsori negara Korea Utara yang disebut Lazarus , sebuah tekad yang dicapai secara independen sebelumnya oleh para peneliti di Kaspersky Lab dan Elastic Security .

Mandiant menemukan bahwa perangkat lunak 3CX yang disusupi akan mendapatkan malware yang mencari arah baru dengan melihat informasi ikon terenkripsi yang dihosting di GitHub . Informasi ikon yang didekripsi mengungkapkan situasi server manajemen malware, yang kemudian ditanyakan untuk tahap ke-3 dari kompromi malware — program pencuri kata sandi yang dijuluki ICONICSTEALER.

Kompromi rantai pasokan ganda yang menyebabkan malware didorong keluar ke beberapa klien 3CX. Gambar: Mandiant.

Sementara itu, badan keamanan ESET segera mencetak analisis yang menunjukkan kesamaan yang luar biasa antara malware yang digunakan dalam serangan rantai pasokan 3CX dan malware berbasis Linux yang baru-baru ini digunakan melalui penawaran pekerjaan palsu dari profil pemerintah palsu di LinkedIn. Para peneliti mengatakan ini adalah pertama kalinya Lazarus terlihat menyebarkan malware yang ditujukan untuk pengguna Linux.

Seperti yang dilaporkan dalam koleksi musim panas lalu di sini, LinkedIn telah dibanjiri 12 bulan terakhir ini oleh profil pemerintah palsu untuk orang-orang yang diduga bekerja di berbagai perusahaan teknologi, keamanan, energi, dan keuangan. Dalam banyak kasus, profil palsu menipu kepala petugas keamanan data di perusahaan besar, dan beberapa menarik cukup banyak koneksi sebelum akun mereka dihentikan.

Mandiant , Proofpoint , dan konsultan lain mengatakan Lazarus telah lama menggunakan profil LinkedIn palsu ini untuk memikat target agar membuka dokumen berisi malware yang biasanya disamarkan sebagai tawaran pekerjaan. Kampanye pemasaran spionase Korea Utara yang sedang berlangsung ini menggunakan LinkedIn pertama kali didokumentasikan pada Agustus 2020 oleh ClearSky Safety , yang menyebutkan bahwa grup Lazarus mengoperasikan lusinan peneliti dan personel intelijen untuk menangani kampanye pemasaran secara global.

Microsoft Corp. , yang memiliki LinkedIn, menyebutkan pada September 2022 bahwa mereka telah mendeteksi berbagai kampanye rekayasa sosial yang memanfaatkan proliferasi akun LinkedIn palsu. Microsoft mengatakan akun tersebut telah digunakan untuk menyamar sebagai perekrut di perusahaan keahlian, keamanan, dan media, dan untuk membujuk orang agar membuka file berbahaya. Microsoft menemukan bahwa penyerang biasanya menyamarkan malware mereka sebagai program perangkat lunak sumber terbuka terkemuka seperti Sumatra PDF dan Putty konsumen SSH .

Microsoft mengaitkan serangan ini dengan grup peretasan Lazarus Korea Utara, meskipun mereka secara historis menyebut grup ini sebagai ” ZINC “. Begitulah, hingga awal bulan ini, ketika Redmond benar-benar mengubah cara penamaan kelompok ancaman ; Microsoft sekarang mereferensikan ZINC sebagai ” Diamond Sleet .”

Para peneliti ESET mengatakan bahwa mereka menemukan iming-iming pekerjaan palsu baru yang terkait dengan kampanye pemasaran Lazarus yang sedang berlangsung di LinkedIn yang dirancang untuk mengkompromikan program kerja Linux . Malware tersebut ditemukan dalam dokumen yang memberikan kontrak kerja di lembaga keuangan multinasional HSBC.

“Beberapa minggu yang lalu, muatan Linux lokal ditemukan di VirusTotal dengan iming-iming PDF bertema HSBC,” tulis peneliti ESET Peter Kalnai dan Marc-Etienne M.Leveille . “Ini melengkapi kemampuan Lazarus untuk fokus pada semua program kerja desktop utama. Dalam hal ini, kami dapat merekonstruksi seluruh rantai, dari file ZIP yang memberikan penawaran pekerjaan HSBC palsu sebagai umpan, hingga muatan terakhir.

ESET menyebutkan file PDF berbahaya yang digunakan dalam skema tersebut tampaknya memiliki ekstensi file “.pdf”, namun ini adalah tipu muslihat. ESET menemukan bahwa titik dalam nama file bukanlah interval standar, melainkan karakter Unicode (U+2024) yang mewakili ” titik awal “, yang biasanya digunakan dalam daftar isi untuk menghubungkan judul bagian dengan nomor halaman. di mana bagian ini dimulai.

“Penggunaan titik utama dalam nama file kemungkinan besar merupakan upaya untuk mengelabui pengelola file agar memperlakukan file tersebut sebagai file yang dapat dieksekusi alih-alih PDF,” lanjut para peneliti. “Ini dapat memicu file untuk dijalankan saat diklik dua kali alih-alih membukanya dengan penampil PDF.”

ESET mengatakan siapa pun yang membuka file tersebut akan melihat PDF umpan dengan tawaran pekerjaan dari HSBC, tetapi di latar belakang file yang dapat dieksekusi akan menerima lebih banyak muatan malware. Kru ESET juga menemukan bahwa malware tersebut mampu memanipulasi ikon sistem yang ditampilkan oleh PDF berbahaya, mungkin karena mengutak-atik ekstensi file dapat memicu sistem pengguna untuk menampilkan ikon bersih untuk iming-iming malware.

Kim Zetter , seorang reporter veteran Wired.com dan sekarang jurnalis keamanan independen, mewawancarai para peneliti Mandiant yang mengatakan bahwa mereka mengantisipasi “lebih banyak korban” dapat ditemukan di antara klien Perdagangan dan Penjualan Ilmu Pengetahuan Terapan dan 3CX sekarang setelah data perangkat lunak yang disusupi aplikasi bersifat publik.

“Perdagangan Ilmu Pengetahuan Terapan Mandiant pada 11 April bahwa perangkat lunak X_Trader-nya telah dikompromikan, tetapi pembuat perangkat lunak mengatakan tidak punya waktu untuk menganalisis dan mengkonfirmasi pernyataan Mandiant,” tulis Zetter dalam buletin Zero Day-nya di Substack . Untuk saat ini, masih belum jelas apakah perangkat lunak X_Trader yang disusupi telah diunduh oleh orang-orang di perusahaan perangkat lunak lain.

Jika ada hikmahnya di sini, perangkat lunak X_Trader telah dinonaktifkan pada April 2020 — dua tahun sebelum peretas diduga menyematkan malware di dalamnya.

“The corporate hadn’t launched new variations of the software program since that point and had stopped offering help for the product, making it a less-than-ideal vector for the North Korean hackers to contaminate clients,” Zetter wrote.