Lazarus X_TRADER Hack afeta infraestrutura além da violação 3CX

hackers-lazarus-espalham-malware-atraves-de-servidores-microsoft-iis-sequestrados

O famoso grupo de hackers norte-coreanos Lazarusé responsável pelo ataque em cascata à cadeia de suprimentos visando o 3CX. Agora, segundo investigadores em segurança, esse grupo também invadiu duas organizações de infraestrutura crítica no setor de energia e duas outras empresas envolvidas no comércio financeiro usando o aplicativo trojanizado X_TRADER. Então, o Lazarus X_TRADER Hack afeta infraestrutura além da violação 3CX

As novas descobertas, cortesia da equipe de caçadores de ameaças da Symantec, confirmam as suspeitas anteriores de que o comprometimento do aplicativo X_TRADER afetou mais organizações do que o 3CX. Os nomes das organizações não foram revelados.

Eric Chien, diretor de resposta de segurança da Symantec, de propriedade da Broadcom, disse ao The Hacker News em um comunicado que os ataques ocorreram entre setembro de 2022 e novembro de 2022.

“O impacto dessas infecções é desconhecido no momento – mais investigações são necessárias e estão em andamento”, disse Chien, acrescentando que é possível que “provavelmente haja mais nessa história e possivelmente até outros pacotes que são trojanizados”.

O desenvolvimento ocorre quando a Mandiant divulgou que o comprometimento do software de aplicativo de desktop 3CX no mês passado foi facilitado por outra violação da cadeia de suprimentos de software visando o X_TRADER em 2022, que um funcionário baixou em seu computador pessoal.

Lazarus X_TRADER Hack afeta infraestrutura além da violação 3CX

Atualmente, não está claro como UNC4736, um ator norte-coreano do nexo, adulterou o X_TRADER, um software comercial desenvolvido por uma empresa chamada Trading Technologies. Embora o serviço tenha sido descontinuado em abril de 2020, ainda estava disponível para download no site da empresa no ano passado.

A investigação da Mandiant revelou que o backdoor (apelidado de VEILEDSIGNAL) injetado no aplicativo X_TRADER corrompido permitiu que o adversário obtivesse acesso ao computador do funcionário e desviasse suas credenciais, que foram usadas para violar a rede da 3CX, mover-se lateralmente e comprometer o Windows e ambientes de compilação macOS para inserir código malicioso.

O amplo ataque interligado parece ter uma sobreposição substancial com grupos e campanhas anteriores alinhados à Coreia do Norte que historicamente visaram empresas de criptomoedas e conduziram ataques motivados financeiramente.

Outros detalhes

Lazarus X_TRADER Hack afeta infraestrutura além da violação 3CX

A subsidiária do Google Cloud avaliou com “confiança moderada” que a atividade está vinculada ao AppleJeus, uma campanha persistente que visa empresas de criptografia por roubo financeiro. A empresa de segurança cibernética CrowdStrike atribuiu anteriormente o ataque a um cluster Lazarus chamado Labyrinth Chollima .

O mesmo coletivo adversário foi anteriormente vinculado pelo Threat Analysis Group (TAG) do Google ao comprometimento do site da Trading Technologies em fevereiro de 2022 para servir a um kit de exploração que alavancou uma falha de dia zero no navegador Chrome.

A ESET, em uma análise de uma campanha díspar do Lazarus Group, divulgou um novo malware baseado em Linux chamado SimplexTea que compartilha a mesma infraestrutura de rede identificada como usada pelo UNC4736, expandindo ainda mais as evidências existentes de que o hack 3CX foi orquestrado pela ameaça norte-coreana. atores.

“A descoberta [da Mandiant] sobre um segundo ataque à cadeia de suprimentos responsável pelo comprometimento do 3CX é uma revelação de que o Lazarus pode estar mudando cada vez mais para essa técnica para obter acesso inicial à rede de seus alvos”, o pesquisador de malware da ESET Marc-Etienne M .Léveillé disse ao The Hacker News.

O comprometimento do aplicativo X_TRADER alude ainda às motivações financeiras dos invasores. Lazarus (também conhecido como HIDDEN COBRA) é um termo genérico para um composto de vários subgrupos baseados na Coreia do Norte que se envolvem em espionagem e atividades cibercriminosas em nome do Reino Eremita e evitam sanções internacionais.

A quebra da cadeia de infecção da Symantec corrobora a implantação do backdoor modular VEILEDSIGNAL, que também incorpora um módulo de injeção de processo que pode ser injetado nos navegadores Chrome, Firefox ou Edge. O módulo, por sua vez, contém uma biblioteca de vínculo dinâmico (DLL) que se conecta ao site da Trading Technologies para comando e controle (C2).

“A descoberta de que o 3CX foi violado por outro ataque anterior à cadeia de suprimentos tornou altamente provável que outras organizações fossem afetadas por esta campanha, que agora parece ser muito mais abrangente do que se acreditava originalmente”, concluiu a Symantec.