Lazarus, le prolifique groupe de piratage nord-coréen à l’origine de l’attaque en cascade de la chaîne d’approvisionnement ciblant 3CX, a également piraté deux organisations d’infrastructures critiques dans le secteur de l’électricité et de l’énergie et deux autres entreprises impliquées dans le commerce financier en utilisant l’application X_TRADER trojanisée.
Les nouvelles découvertes, qui viennent avec l’aimable autorisation de L’équipe Threat Hunter de Symantec, confirment les soupçons antérieurs selon lesquels la compromission de l’application X_TRADER affectait plus d’organisations que 3CX. Les noms des organisations n’ont pas été révélés.
Eric Chien, directeur de la réponse de sécurité chez Symantec, propriété de Broadcom, a déclaré à The Hacker News dans un communiqué que les attaques avaient eu lieu entre septembre 2022 et novembre 2022.
« L’impact de ces infections est inconnu pour le moment – une enquête plus approfondie est nécessaire et est en cours », a déclaré Chien, ajoutant qu’il est possible qu’il y ait « probablement plus à cette histoire et peut-être même d’autres paquets qui sont trojanisés ».
Le développement intervient alors que Mandiant a révélé que la compromission du logiciel d’application de bureau 3CX le mois dernier a été facilitée par une autre violation de la chaîne d’approvisionnement logicielle ciblant X_TRADER en 2022, qu’un employé a téléchargé sur son ordinateur personnel.
On ignore actuellement comment UNC4736, un acteur du lien nord-coréen, a trafiqué X_TRADER, un logiciel de trading développé par une société nommée Trading Technologies. Bien que le service ait été interrompu en avril 2020, il était toujours disponible en téléchargement sur le site Web de l’entreprise aussi récemment que l’année dernière.
L’enquête de Mandiant a révélé que la porte dérobée (surnommée VEILEDSIGNAL) injectée dans l’application X_TRADER corrompue a permis à l’adversaire d’accéder à l’ordinateur de l’employé et de siphonner ses identifiants, qui ont ensuite été utilisés pour violer le réseau de 3CX, se déplacer latéralement et compromettre Windows et macOS construit des environnements pour insérer du code malveillant.
L’attaque interconnectée tentaculaire semble avoir un chevauchement substantiel avec les précédents groupes et campagnes alignés sur la Corée du Nord qui ont historiquement ciblé les sociétés de crypto-monnaie et mené des attaques à motivation financière.
La filiale de Google Cloud a évalué avec une « confiance modérée » que l’activité est liée à AppleJeus, une campagne persistante ciblant les sociétés de cryptographie pour le vol financier. La société de cybersécurité CrowdStrike a précédemment attribué l’attaque à un cluster Lazarus qu’elle appelle Labyrinth Chollima.
Le même collectif contradictoire était auparavant lié par le groupe d’analyse des menaces (TAG) de Google à la compromission du site Web de Trading Technologies en février 2022 pour servir un kit d’exploitation qui exploitait une faille alors zéro jour dans le navigateur Web Chrome.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
ESET, dans une analyse d’une campagne disparate du groupe Lazarus, a révélé un nouveau logiciel malveillant basé sur Linux appelé SimplexTea qui partage la même infrastructure réseau identifiée comme utilisée par UNC4736, développant davantage les preuves existantes que le piratage 3CX a été orchestré par une menace nord-coréenne. acteurs.
« [Mandiant’s] la découverte d’une deuxième attaque de la chaîne d’approvisionnement responsable de la compromission de 3CX est une révélation que Lazarus pourrait se tourner de plus en plus vers cette technique pour obtenir un accès initial au réseau de leurs cibles », a déclaré Marc-Etienne M.Léveillé, chercheur sur les logiciels malveillants chez ESET. Nouvelles de pirates.
La compromission de l’application X_TRADER fait davantage allusion aux motivations financières des attaquants. Lazarus (également connu sous le nom de HIDDEN COBRA) est un terme générique désignant un composé de plusieurs sous-groupes basés en Corée du Nord qui se livrent à la fois à des activités d’espionnage et de cybercriminalité au nom du Royaume Ermite et échappent aux sanctions internationales.
La rupture de la chaîne d’infection par Symantec corrobore le déploiement de la porte dérobée modulaire VEILEDSIGNAL, qui intègre également un module d’injection de processus pouvant être injecté dans les navigateurs Web Chrome, Firefox ou Edge. Le module, pour sa part, contient une bibliothèque de liens dynamiques (DLL) qui se connecte au site Web de Trading Technologies pour la commande et le contrôle (C2).
« La découverte que 3CX a été piraté par une autre attaque antérieure de la chaîne d’approvisionnement a rendu très probable que d’autres organisations seraient touchées par cette campagne, qui s’avère maintenant être beaucoup plus étendue qu’on ne le pensait initialement », a conclu Symantec.