Mandiant ha identificato la sorgente dell’attacco hacker

Sebbene l’indagine di Mandiant sia ancora in corso, ora abbiamo una panoramica più chiara dell’attacco alla nostra catena di distribuzione. A seguito del nostro precedente aggiornamento, vorremmo condividere alcuni dettagli tecnici aggiuntivi per tenre aggiornati i nostri clienti e la community. Abbiamo inoltre pubblicato ulteriori indicatori che le organizzazioni possono sfruttare per le loro difese della rete.

Fattore iniziale dell’intrusione

Mandiant ha identificato la fonte della compromissione della nostra rete interna a partire dal 2022, quando un dipendente ha installato il software X_TRADER di Trading Technologies sul suo computer personale. Sebbene il software di installazione di X_TRADER sia stato scaricato dal sito web di Trading Technologies, conteneva il malware VEILEDSIGNAL, che ha permesso all’autore della minaccia (identificato come UNC4736) di compromettere inizialmente e mantenere la persistenza sul computer personale del dipendente.
Il programma di installazione di X_TRADER (X_TRADER_r7.17.90p608.exe) era firmato digitalmente da un certificato con oggetto “Trading Technologies International, Inc”. Era ospitato su hxxps://download.tradingtechnologies[.]com. Sebbene il software X_TRADER sia stato ritirato nel 2020 da Trading Technologies, il software era ancora disponibile per il download sul sito web di Trading Technologies nel 2022. Il certificato, utilizzato per firmare digitalmente il software dannoso, scadeva nell’ottobre 2022.

Per maggiori dettagli tecnici sull’attacco del software X_TRADER, leggete il blog di Mandiant.

Percorso dell’attacco

Dopo la compromissione iniziale del computer personale del dipendente tramite il malware VEILEDSIGNAL, Mandiant valuta che l’autore della minaccia abbia rubato le credenziali aziendali 3CX del dipendente dal suo sistema. VEILEDSIGNAL è un malware completo che ha fornito all’autore della minaccia, l’accesso a livello di amministratore e la persistenza nel sistema compromesso. Le prime prove di compromissione scoperte all’interno dell’ambiente aziendale 3CX, si sono verificate attraverso la VPN utilizzando le credenziali aziendali del dipendente, due giorni dopo la compromissione del suo computer personale.

Inoltre, Mandiant ha identificato l’uso dello strumento Fast Reverse Proxy (https://github.com/fatedier/frp) che il responsabile della minaccia ha utilizzato per muoversi all’interno dell’ambiente 3CX. Lo strumento era denominato MsMpEng.exe e si trovava nella directory C:\Windows\System32.

Violazione dell’ambiente di compilazione CI/CD

L’indagine di Mandiant è stata in grado di ricostruire i passaggi dell’autore dell’attacco attraverso il nostro ambiente, mentre raccoglieva le credenziali e si muoveva all’interno del sistema. Alla fine, il responsabile della minaccia è riuscito a compromettere sia l’ambiente di compilazione Windows che quello macOS. Nell’ambiente di compilazione Windows, l’aggressore ha distribuito il launcher TAXHAUL e il downloader COLDCAT, che persistevano eseguendo l’hijacking della DLL per il servizio IKEEXT ed erano eseguiti con i privilegi di LocalSystem. Il server di compilazione macOS è stato compromesso con una backdoor POOLRAT che utilizza LaunchDaemons come meccanismo di persistenza.

Attribuzione

Sulla base delle indagini condotte finora da Mandiant, rigurado all’attacco alla catena di fornitura di 3CX, l’attività è stata attribuita a un cluster di attori di minacce denominato UNC4736. Mandiant ritiene, con elevata sicurezza, che UNC4736 abbia un legame con la Corea del Nord.

Indicatori di violazione

X_TRADER_r7.17.90p608.exe
SHA256: fbc50755913de619fb830fb95882e9703dbfda67dbd0f75bc17eadc9eda61370
SHA1: ced671856bbaef2f1878a2469fb44e9be8c20055
MD5: ef4ab22e565684424b4142b1294f1f4d

Setup.exe
SHA256: 6e11c02485ddd5a3798bf0f77206f2be37487ba04d3119e2d5ce12501178b378
SHA1: 3bda9ca504146ad5558939de9fece0700f57c1c0
MD5: 00a43d64f9b5187a1e1f922b99b09b77

Numero di serie del certificato di firma del codice
9599605970805149948

MsMpEng.exe
SHA256: 24d5dd3006c63d0f46fb33cbc1f576325d4e7e03e3201ff4a3c1ffa604f1b74a
SHA1: d7ba13662fbfb254acaad7ae10ad51e0bd631933
MD5: 19dbffec4e359a198daf4ffca1ab9165

Comando e controllo:

Mandiant ha identificato che il malware all’interno dell’ambiente 3CX ha utilizzato la seguente infrastruttura di comando e controllo aggiuntiva.
www.tradingtechnologies[.]com/trading/order-management

Guardiamo al futuro

La nostra priorità in questo incidente è sempre stata la totale trasparenza su ciò che è successo e sulle azioni che abbiamo intrapreso.

Mentre si conclude l’indagine sull’attacco, 3CX ha colto l’opportunità di continuare a rafforzare le proprie politiche, pratiche e tecnologie per proteggersi ulteriormente da attacchi futuri. Per questo annunciamo un piano d’azione per la sicurezza in 7 passi. In questo piano, ci impegniamo a compiere passi concreti per rafforzare le nostre difese. Potete leggerlo in dettaglio qui.

Seguite tutte le news sul prodotto in esclusiva! Seguiteci su linkedIn e Twitter!