A Symantec Threat Hunter Team álláspontja szerint az X_Trader szoftver ellátásiláncot érintő támadás, amely 2023 márciusában a 3CX kompromittálódásához vezetett, több kritikus infrastruktúrát is érintett az Egyesült Államokban és Európában is.
A Trading Technologies és a 3CX támadásokhoz köthető Észak-Korea által támogatott fenyegető csoport az X_Trader trójai telepítőjét használta fel ahhoz, hogy a VEILEDSIGNAL többlépcsős moduláris backdoor felkerüljön az áldozatok rendszereire.
Az installálást követően a kártevő képes rosszindulatú shellcode futtatására, valamint kommunikációs modul injektálásra a veszélyeztetett rendszereken futó Chrome, Firefox vagy Edge folyamatokban.
„A Symantec Threat Hunter csapata által végzett vizsgálat megállapította, hogy az áldozatok között két energiaszektorban található kritikus infrastruktúrájú szervezet van, az egyik az Egyesült Államokban, a másik pedig Európában. Ezen kívül két másik, pénzügyi kereskedelemmel foglalkozó szervezetet is megtámadtak” – áll a vállalat által közzétett jelentésben.
A Trading Technologies ellátásiláncának-támadása egy pénzügyi motivációjú kampánynak az eredménye, azonban érdemes megjegyezni, hogy az Észak-Korea által támogatott hackercsoportok a kiberkémkedésről is ismertek. Ezáltal valószínűsíthető, hogy a támadás során kompromittálódott szervezetek a későbbiekben kihasználásra kerülhetnek.
Széles körű ellátásilánc-támadás
A 3CX-en kívül legalább négy további szervezetet is megtámadtak a trójai X_Trader szoftver segítségével, nagy valószínűséggel az észak-koreai hackerkampányban további, még fel nem fedezett áldozatok is érintettek lehetnek.
„Az, hogy a 3CX-et egy másik, korábbi ellátásiláncot érintő támadással törték fel, valószínűsíti, hogy további szervezeteket is érinthet a kampány.” – nyilatkozta a Symantec.
A Mandiant egy észak-koreai fenyegető csoportot, az UNC4736-ot hozta összefüggésbe a 3CX VoIP-vállalatot 2023 márciusában ért kaszkádszerű ellátásilánc-támadással.
Az UNC4736 kapcsolatban áll az Operation AppleJeus [1, 2, 3] mögött álló, pénzügyi motivációval rendelkező, Észak-Korea által támogatott Lazarus csoporttal, amelyet a Google fenyegetéselemző csoportja (TAG) korábban a Trading Technologies weboldalának veszélyeztetésével hozott összefüggésbe.
A támadási infrastruktúra átfedése alapján a Mandiant az UNC4736-ot az APT43 két rosszindulatú tevékenységcsoportjával is összekapcsolta, amelyeket UNC3782 és UNC4469 néven követett nyomon.
