Compromissione della catena di fornitura del software 3CX avviata da un precedente compromesso della catena di fornitura del software; Sospetto attore nordcoreano responsabile

Nel marzo 2023, Mandiant Consulting ha risposto a una compromissione della catena di fornitura che ha interessato il software dell'app desktop 3CX. Durante questa risposta, Mandiant ha identificato che il vettore di compromissione iniziale della rete 3CX era tramite software dannoso scaricato dal sito Web di Trading Technologies. Questa è la prima volta che Mandiant vede un attacco alla catena di fornitura del software portare ad un altro attacco alla catena di fornitura del software.

L'app desktop 3CX è un software aziendale che fornisce comunicazioni ai propri utenti tra cui chat, videochiamate e chiamate vocali. Alla fine di marzo del 2023, una catena di fornitura di software compromessa ha diffuso malware tramite una versione con trojan del software legittimo di 3CX che era disponibile per il download dal loro sito Web. Il software interessato era 3CX DesktopApp 18.12.416 e versioni precedenti, che conteneva codice dannoso che eseguiva un downloader, SUDDENICON, che a sua volta riceveva server di comando e controllo (C2) aggiuntivi da file di icone crittografati ospitati su GitHub. Il server C2 decrittografato è stato utilizzato per scaricare una terza fase identificata come ICONICSTEALER, un dataminer che ruba informazioni dal browser. Mandiant traccia questa attività come UNC4736, un sospetto cluster di attività del nesso nordcoreano.

L'indagine di Mandiant Consulting sulla compromissione della catena di fornitura 3CX ha scoperto il vettore di intrusione iniziale: un pacchetto software intriso di malware distribuito tramite una precedente compromissione della catena di fornitura software iniziata con un programma di installazione manomesso per X_TRADER, un pacchetto software fornito da Trading Technologies (Figura 1) . Mandiant ha stabilito che un processo di caricamento complesso ha portato all'implementazione di VEILEDSIGNAL, una backdoor modulare a più fasi, e dei suoi moduli.

Mandiant Consulting ha identificato un programma di installazione con il nome file X_TRADER_r7.17.90p608.exe (MD5: ef4ab22e565684424b4142b1294f1f4d) che ha portato all'implementazione di una backdoor modulare dannosa: VEILEDSIGNAL.

Sebbene, secondo quanto riferito, la piattaforma X_TRADER sia stata interrotta nel 2020, era ancora disponibile per il download dal sito Web legittimo di Trading Technologies nel 2022. Questo file era firmato con l'oggetto "Trading Technologies International, Inc" e conteneva il file eseguibile Setup.exe che era anche firmato con lo stesso certificato digitale. Il certificato di firma del codice utilizzato per firmare digitalmente il software dannoso sarebbe scaduto nell'ottobre 2022.

Il programma di installazione contiene ed esegue Setup.exe che elimina due DLL con trojan e un eseguibile benigno. Setup.exe utilizza l'eseguibile benigno per caricare lateralmente una delle DLL dannose. Il caricamento laterale si basa su eseguibili Windows legittimi per caricare ed eseguire un file dannoso mascherato da dipendenza legittima. Le DLL dannose caricate contengono e utilizzano SIGFLIP e DAVESHELL per decrittografare e caricare in memoria il payload dell'altro eseguibile dannoso rilasciato. SIGFLIP si basa sul cifrario a flusso RC4 per decrittografare il payload scelto e utilizza la sequenza di byte FEEDFACE per trovare lo shellcode, in questo caso DAVESHELL, durante la fase di decrittografia.

SIGFLIP e DAVESHELL estraggono ed eseguono una backdoor modulare, VEILEDSIGNAL, e due moduli corrispondenti. VEILEDSIGNAL si affida ai due moduli estratti per l'iniezione del processo e le comunicazioni con il server C2.

VEILEDSIGNAL e i due componenti associati forniscono le seguenti funzionalità:

La configurazione C2 del campione identificato di VEILEDSIGNAL (MD5: c6441c961dcad0fe127514a918eaabd4) si basava sul seguente URL hardcoded: www.tradingtechnologies[.]com/trading/order-management.

Le applicazioni X_TRADER e 3CXDesktopApp compromesse contengono, estraggono ed eseguono un payload allo stesso modo, sebbene il payload finale sia diverso. Mandiant ha analizzato questi campioni e ha osservato le seguenti somiglianze:

L'aggressore ha utilizzato una versione compilata del progetto Fast Reverse Proxy disponibile al pubblico per spostarsi lateralmente all'interno dell'organizzazione 3CX durante l'attacco. Il file MsMpEng.exe (MD5: 19dbffec4e359a198daf4ffca1ab9165) è stato rilasciato in C:\Windows\System32 dall'autore della minaccia.