Beveiligingsupdate donderdag 20 april 2023 – Eerste Aanvalsvector gevonden

Mandiant identificeert de bron van de inbreuk op het interne netwerk

Hoewel het onderzoek van Mandiant nog loopt, is er een steeds duidelijker beeld van de aanval. We delen enkele aanvullende details om onze klanten te ondersteunen. We hebben ook extra risico indicatoren gepubliceerd welke organisaties kunnen gebruiken voor de verdediging van hun netwerk.

Oorspronkelijke aanvalsvector

Mandiant heeft vastgesteld dat de bron van de inbreuk op ons interne netwerk is begonnen in 2022. Een medewerker heeft Trading Technologies X_TRADER software geïnstalleerd op zijn PC. Hoewel de X_TRADER-installatiesoftware was gedownload van de Trading Technologies website, bevatte deze VEILEDSIGNAL-malware, waardoor de dader (geïdentificeerd als UNC4736) in eerste instantie de persoonlijke computer van de werknemer kon infecteren en aanwezig kon blijven.

Het X_TRADER-installatieprogramma (X_TRADER_r7.17.90p608.exe) was digitaal ondertekend door een legitiem certificaat met als onderwerp “Trading Technologies International, Inc”. Het werd gehost op hxxps://download.tradingtechnologies[.]com. Hoewel de X_TRADER-software naar verluidt in 2020 door Trading Technologies werd afgeschreven, kon de software in 2022 nog steeds worden gedownload op de website van Trading Technologies. Het certificaat dat werd gebruikt om de kwaadaardige software digitaal te ondertekenen, zou in oktober 2022 verlopen.
Voor meer technische details over de X_TRADER software supply chain aanval, inclusief YARA regels voor de hunt, kunt u het blog van Mandiant lezen op https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise.

Laterale beweging

Na de eerste besmetting van de pc van de medewerker met VEILEDSIGNAL-malware, heeft de dader volgens Mandiant de bedrijfsgegevens van 3CX van de medewerker gestolen. VEILEDSIGNAL is een fully-featured malware die de dader toegang op administrator-level van het systeem verschafte. Het eerste bewijs van besmetting binnen de bedrijfsomgeving van 3CX vond plaats via het VPN met behulp van de bedrijfsgegevens van de werknemer, twee dagen nadat de persoonlijke computer van de werknemer was besmet.

Daarnaast identificeerde Mandiant het gebruik van de Fast Reverse Proxy-tool (https://github.com/fatedier/frp) die de dader gebruikte om zich lateraal te verplaatsen binnen de 3CX-omgeving. De tool heette MsMpEng.exe en bevond zich in de map C:\WindowsSystem32.

Besmetting van CI/CD-bouwomgeving

Het onderzoek van Mandiant was in staat om de stappen van de aanvaller in onze omgeving te reconstrueren terwijl hij referenties verzamelde en zich lateraal bewoog. Uiteindelijk kon de aanvaller zowel de Windows- als de macOS-bouwomgeving compromitteren. Op de Windows-bouwomgeving zette de aanvaller de TAXHAUL launcher en COLDCAT downloader in, die bleven bestaan door DLL-kaping voor de IKEEXT-service uit te voeren en met LocalSystem-rechten te draaien. De macOS build server werd gecompromitteerd met een POOLRAT backdoor die LaunchDaemons gebruikte als persistentiemechanisme.

Attribution

Op basis van het Mandiant-onderzoek naar de 3CX-inbraak en de ketenaanval tot nu toe, wordt de activiteit toegeschreven aan een cluster van aanvallers met de naam UNC4736. Mandiant is ervan overtuigd dat UNC4736 banden heeft met Noord-Korea.

Indicatoren van Compromittering

X_TRADER_r7.17.90p608.exe
SHA256: fbc50755913de619fb830fb95882e9703dbfda67dbd0f75bc17eadc9eda61370
SHA1: ced671856bbaef2f1878a2469fb44e9be8c20055
MD5: ef4ab22e565684424b4142b1294f1f4d

Setup.exe
SHA256: 6e11c02485ddd5a3798bf0f77206f2be37487ba04d3119e2d5ce12501178b378
SHA1: 3bda9ca504146ad5558939de9fece0700f57c1c0
MD5: 00a43d64f9b5187a1e1f922b99b09b77

Code signing certificate serial #
9599605970805149948

MsMpEng.exe
SHA256: 24d5dd3006c63d0f46fb33cbc1f576325d4e7e03e3201ff4a3c1ffa604f1b74a
SHA1: d7ba13662fbfb254acaad7ae10ad51e0bd631933
MD5: 19dbffec4e359a198daf4ffca1ab9165

Command and Control

Mandiant heeft vastgesteld dat malware binnen de 3CX-omgeving gebruikmaakte van de volgende aanvullende command- en control-infrastructuur.
www.tradingtechnologies[.]com/trading/ordermanagement

Verder gaan

Onze prioriteit tijdens dit incident was transparantie over wat we weten en welke acties we hebben ondernomen.

Terwijl we het onderzoek naar het incident afronden, heeft 3CX van de gelegenheid gebruik gemaakt om ons beleid, onze handelingen en onze technologie te versterken om ons verder te beschermen tegen toekomstige aanvallen. Daarom kondigen we een 7-stappenplan voor onze beveiliging aan. In dit plan verplichten we ons tot uitvoerbare stappen om onze verdediging te versterken. Lees meer.