Расследование компании Mandiant показало, что взлом популярного смартфона 3CX начался после установки скомпрометированного программного обеспечения от Trading Technologies. Однако атака вышла за пределы 3CX, и Symantec утверждает, что выявила жертв в энергетическом и финансовом секторах. Mandiant указала на поддельный установщик X_Trader, пакета программного обеспечения, предоставляемого Trading Technologies, как источник атаки.
Trading Technologies заявила, что X_Trader должен был быть прекращен в 2020 году, поэтапный отказ начался в 2018 году. Однако Mandiant заявил, что он все еще будет доступен для загрузки в 2022 году. Файл был подписан темой «Trading Technologies International, Inc» и содержал исполняемый файл Setup.exe, который также был подписан тем же цифровым сертификатом.
Установка скомпрометированного программного обеспечения привела к сложному процессу загрузки и развертыванию VEILEDSIGNAL, многоэтапного модульного бэкдора и его модулей. VEILEDSIGNAL внедрила свой бэкдор и загрузила зашифрованный модуль управления и контроля (C2) с GitHub. C2 установил себя на любой из Chrome, Firefox или Edge, который он нашел первым. Он также настроил Windows на прослушивание входящих сообщений, которые он передал на свой сервер.
Mandiant заявил, что злоумышленник смог скомпрометировать среду сборки Windows и macOS. Он подтвердил свое прежнее подозрение, что за нападением стоят северокорейские актеры, получившие прозвище UNC4376. С тех пор Symantec заявила, что скомпрометированная версия X_Trader была установлена другими организациями.
Команда компании по поиску угроз не назвала имена жертв, но сообщила, что скомпрометированное программное обеспечение было обнаружено в критически важных инфраструктурных компаниях энергетического сектора, одной в Северной Америке и одной в Европе, а также в двух финансовых торговых организациях.
Symantec заявила, что атака на цепочку поставок X_Trader имеет финансовую подоплеку, поскольку Trading Technologies, разработчик X_Trader, облегчает торговлю фьючерсами, включая фьючерсы на энергоносители. Что касается компрометации критически важных объектов инфраструктуры, Symantec заявила, что известно, что субъекты, спонсируемые Северной Кореей, участвуют как в шпионаже, так и в финансовых атаках, и нельзя исключать, что стратегически важные организации, взломанные во время финансовой кампании, станут мишенью для дальнейшей эксплуатации.
Оригинальная новость на сайте
