Mandiant обнаружила источник компрометации внутренней сети

Хотя расследование компании Mandiant еще продолжается, в данный момент мы уже имеем четкое представление об атаке. В этой новости мы хотим поделиться дополнительными техническими подробностями, которые будут полезны сообществу партнеров и нашим клиентам. Мы также публикуем информацию об индикаторах компрометации сети, которые другие организации могут использовать для своей защиты.

Исходный вектор вторжения

Mandiant определила, что вторжение в нашу сеть (исходный вектор вторжения) началось в 2022 г., когда сотрудник установил на свой ПК программное обеспечение X_TRADER компании Trading Technologies. Хотя ПО X_TRADER было было загружено с официального сайта Trading Technologies, оно содержало вредоносный код VEILEDSIGNAL. Это позволило злоумышленнику (идентифицированному как UNC4736) скомпрометировать ПК сотрудника, а также сохранить устойчивость этой компрометации.

Инсталлятор X_TRADER (X_TRADER_r7.17.90p608.exe) был подписан действительным сертификатом подписания кода, принадлежащим “Trading Technologies International, Inc”. Инсталлятор был размещен на hxxps://download.tradingtechnologies[.]com. Хотя Trading Technologies сообщила, что перестала поддерживать X_TRADER еще в 2020 г., ПО оставалось доступным для загрузки на сайте Trading Technologies и в 2022 г. Срок действия сертификата, который использовался для цифровой подписи зараженной программы, истек в октябре 2022 г.

Подробную техническую информацию об атаке на цепочку поставок ПО X_TRADER, включая отслеживающие правила YARA, можно найти в блоге компании Mandiant https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise.

Дальнейшие распространение вируса

По мнению Mandiant, после первоначальной компрометации ПК с помощью вредоносной программы VEILEDSIGNAL, злоумышленник похитил корпоративные учетные данные сотрудника 3CX. VEILEDSIGNAL – полнофункциональная троян, который предоставляет злоумышленнику права администратора в системе и поддерживает доступ к ней. Самая ранняя компрометация, обнаруженная в корпоративной сети 3CX, произошла через VPN. Это случилось через два дня после заражения ПК, и при этом использовались корпоративные учетные данные сотрудника.

Кроме того, Mandiant выявила использование инструмента Fast Reverse Proxy (https://github.com/fatedier/frp), который злоумышленник использовал для распространения в сети 3CX. Инструмент назывался MsMpEng.exe и находился в каталоге C:\Windows\System32.

Компрометация сервера сборки CI/CD

В ходе расследования Mandiant удалось восстановить действия в нашей сети, направленные на распространение вируса и сбор учетных данных. В итоге злоумышленнику удалось скомпрометировать сервер сборки приложений 3CX для Windows и macOS. В среде сборки Windows злоумышленник развернул программу запуска TAXHAUL и программу загрузки COLDCAT. Они сохраняли устойчивость, перехватывая обращения к DLL для службы IKEEXT и работали с привилегиями LocalSystem. Сервер сборки macOS был взломан с помощью бэкдора POOLRAT, использующего для устойчивости механизм LaunchDaemons.

Авторство вируса

В результате расследования Mandiant были сделаны выводы об источниках вторжения в 3CX и атаки на цепочку поставок. Данная атака связывается с деятельностью кластера злоумышленников UNC4736. Mandiant с высокой степенью вероятности связывает UNC4736 с Северной Кореей.

Индикаторы вторжения

X_TRADER_r7.17.90p608.exe
SHA256: fbc50755913de619fb830fb95882e9703dbfda67dbd0f75bc17eadc9eda61370
SHA1: ced671856bbaef2f1878a2469fb44e9be8c20055
MD5: ef4ab22e565684424b4142b1294f1f4d

Setup.exe
SHA256: 6e11c02485ddd5a3798bf0f77206f2be37487ba04d3119e2d5ce12501178b378
SHA1: 3bda9ca504146ad5558939de9fece0700f57c1c0
MD5: 00a43d64f9b5187a1e1f922b99b09b77

Code signing certificate serial #
9599605970805149948

MsMpEng.exe
SHA256: 24d5dd3006c63d0f46fb33cbc1f576325d4e7e03e3201ff4a3c1ffa604f1b74a
SHA1: d7ba13662fbfb254acaad7ae10ad51e0bd631933
MD5: 19dbffec4e359a198daf4ffca1ab9165

Управление

Mandiant определила, что вредоносное ПО в среде 3CX использовало следующую дополнительную управляющую инфраструктуру www.tradingtechnologies[.]com/trading/order-management

Дальнейшие действия

В течение всего расследования нашим приоритетом была прозрачность в отношениях с клиентами и партнерами, публикация известных данных и информации о предпринятых мерах.

Расследование этого инцидента предоставило нам возможность укрепить наши политики, практики и технологии для лучшей защиты от будущих атак. И теперь мы готовы представить 7-шаговый план действий по обеспечению безопасности.  В этом плане мы обязуемся предпринять конкретные шаги по укреплению нашей защиты. Подробнее о нем можно узнать здесь.