Die Einsatzkräfte, die untersuchen, wie Hacker einen komplexen Supply-Chain-Angriff auf den Unternehmenstelefonanbieter 3CX durchgeführt haben, sagen, dass das Unternehmen kompromittiert wurde andere Angriff auf die Lieferkette.
3CX, das ein softwarebasiertes Telefonsystem entwickelt, das von mehr als 600.000 Organisationen weltweit mit mehr als 12 Millionen aktiven Benutzern täglich verwendet wird, arbeitete mit dem Cybersicherheitsunternehmen Mandiant zusammen, um den Vorfall zu untersuchen. In seinem am Donnerstag veröffentlichten Bericht sagte Mandiant, dass Angreifer 3CX mit einer von Trading Technologies entwickelten Version der Finanzsoftware X_Trader mit Malware kompromittiert hätten.
X_Trader war eine Plattform, die von Händlern verwendet wurde, um Echtzeit- und historische Märkte anzuzeigen, die Trading Technologies im Jahr 2020 auslaufen ließ, aber laut Mandiant noch 2022 von der Website des Unternehmens heruntergeladen werden konnte.
Mandiant sagte, es vermute, dass die Website von Trading Technologies von einer Gruppe von staatlich unterstützten Hackern in Nordkorea kompromittiert wurde, die es als UNC4736 bezeichnet.
Dies wird durch einen Bericht belegt aus Die Threat Analysis Group von Google aus dem letzten Jahr, die bestätigte, dass die Website von Trading Technologies im Februar 2022 im Rahmen einer nordkoreanischen Operation kompromittiert wurde, die auf Dutzende von Kryptowährungs- und Fintech-Benutzern abzielte. US-Cybersicherheitsbehörde CISA sagt Die Hacking-Gruppe hat ihre benutzerdefinierte „AppleJeus“-Malware verwendet, um Kryptowährung von Opfern in über 30 Ländern zu stehlen.
Die Untersuchung von Mandiant ergab, dass ein 3CX-Mitarbeiter im April 2022 eine verfälschte Version der X_Trader-Software von der Website von Trading Technologies heruntergeladen hatte, die die Hacker mit dem damals gültigen Code-Signing-Zertifikat des Unternehmens digital signiert hatten, damit es so aussah, als wäre es legitim.
Nach der Installation baute die Software eine Hintertür auf dem Gerät des Mitarbeiters ein, wodurch die Angreifer vollen Zugriff auf das kompromittierte System erhielten. Dieser Zugriff wurde dann verwendet, um sich seitlich durch das Netzwerk von 3CX zu bewegen und schließlich die Flaggschiff-Desktop-Telefon-App von 3CX zu kompromittieren, um informationsstehlende Malware in die Unternehmensnetzwerke ihrer Kunden einzuschleusen.
„Das ist für uns bemerkenswert, weil wir zum ersten Mal konkrete Beweise dafür gefunden haben, dass ein Angriff auf eine Softwarelieferkette zu einem weiteren Angriff auf die Lieferkette geführt hat“, sagte Charles Carmakal, Chief Technology Officer von Mandiant. „Diese Reihe von gekoppelten Angriffen auf die Lieferkette veranschaulicht nur die zunehmende Cyber-Offensive der Cyber-Fähigkeiten nordkoreanischer Bedrohungsakteure.“
Mandiant sagte, es habe Trading Technologies am 11. April über die Kompromittierung informiert, sagt aber, es sei nicht bekannt, wie viele Benutzer betroffen seien.
Die Sprecherin von Trading Technologies, Ellen Resnick, sagte gegenüber TechCrunch, dass das Unternehmen die Ergebnisse von Mandiant noch nicht verifiziert habe, und wiederholte, dass es die Unterstützung der Software im Jahr 2020 eingestellt habe.
Carmakel von Mandiant fügte hinzu, dass in den kommenden Wochen und Monaten wahrscheinlich „noch viel mehr Opfer“ im Zusammenhang mit den beiden Angriffen auf die Lieferkette bekannt werden.