Расследование Mandiant показало, что взлом популярного смартфона 3CX начался, когда сотрудники поставщика установили скомпрометированное программное обеспечение от Trading Technologies.
Взлом также вышел за пределы 3CX: Symantec утверждает, что выявила жертв в энергетическом и финансовом секторах.
Mandiant заявила, что впервые столкнулась с цепочкой атак на цепочку поставок, и указала пальцем на «поддельный установщик X_Trader, пакета программного обеспечения, предоставляемого Trading Technologies».
Согласно Trading Technologies, X_Trader должен был быть прекращен в 2020 году, поэтапный отказ начался в 2018 году.
Тем не менее, Mandiant заявил, что он все еще будет доступен для загрузки в 2022 году.
«Этот файл был подписан темой «Trading Technologies International, Inc» и содержал исполняемый файл Setup.exe, который также был подписан тем же цифровым сертификатом», — сказал Мандиант.
«Срок действия сертификата подписи кода, используемого для цифровой подписи вредоносного программного обеспечения, истекает в октябре 2022 года».
Установка скомпрометированного программного обеспечения привела к «сложному процессу загрузки и развертыванию VEILEDSIGNAL, многоэтапного модульного бэкдора и его модулей», — сказал Мандиант.
VEILEDSIGNAL внедрила свой бэкдор и загрузила зашифрованный модуль управления и контроля (C2) с GitHub.
C2 установил себя на любой из Chrome, Firefox или Edge, который он нашел первым. Он также настроил Windows на прослушивание входящих сообщений, которые он передал на свой сервер.
Mandiant заявил, что «злоумышленник смог скомпрометировать среду сборки Windows и macOS».
Он подтвердил свое прежнее подозрение, что за нападением стоят северокорейские актеры, получившие прозвище UNC4376.
С тех пор Symantec заявила, что скомпрометированная версия X_Trader была установлена другими организациями.
Команда компании по поиску угроз не назвала имена жертв, но сообщила, что скомпрометированное программное обеспечение было обнаружено в критически важных инфраструктурных компаниях энергетического сектора, одной в Северной Америке и одной в Европе, а также в двух финансовых торговых организациях.
«Вполне вероятно, что атака на цепочку поставок X_Trader имеет финансовую подоплеку, поскольку Trading Technologies, разработчик X_Trader, облегчает торговлю фьючерсами, включая фьючерсы на энергоносители», — заявили в Symantec.
Что касается компрометации критически важных объектов инфраструктуры, Symantec заявила, что «известно, что субъекты, спонсируемые Северной Кореей, участвуют как в шпионаже, так и в финансовых атаках, и нельзя исключать, что стратегически важные организации, взломанные во время финансовой кампании, станут мишенью для дальнейшей эксплуатации».
Оригинальная новость на сайте
