Cuộc tấn công chuỗi cung ứng 3CX bắt nguồn từ nhân viên đã cài đặt ứng dụng độc hại
(Tín dụng: 3CX)
Cuộc tấn công chuỗi cung ứng vào ứng dụng gọi thoại 3CX đã được bắt nguồn từ việc một nhân viên công ty đã cài đặt một chương trình hợp pháp nhưng chứa đầy phần mềm độc hại vào máy tính cá nhân của họ.
Các phát hiện(Mở ra trong một cửa sổ mới) đến từ nhà cung cấp bảo mật mạng Mandiant, công ty được 3CX thuê để tiến hành điều tra cách thức các ứng dụng dành cho máy tính để bàn của công ty bị gian lận vào tháng trước nhằm cung cấp mã độc hại cho cả người dùng Windows và Mac.
Mandiant đã phát hiện ra bằng chứng cho thấy vi phạm bắt đầu từ một công ty khác, có tên là Trading Technologies, nhà phát triển ứng dụng giao dịch tương lai X_Trader. Năm ngoái, tin tặc Bắc Triều Tiên bị nghi ngờ là phát hiện(Mở ra trong một cửa sổ mới) xâm phạm trang web của công ty.
Cũng chính những tin tặc đó đã can thiệp vào ứng dụng X_Trader và phân phối nó cho các nạn nhân tiềm năng trên trang web của công ty. Để làm bằng chứng, Mandiant cho biết phần mềm chứa đầy phần mềm độc hại X_Ứng dụng nhà giao dịch đã được ký bằng chứng chỉ ký mã hợp lệ dưới tên “Trading Technologies International, Inc.” đã được ấn định hết hạn vào tháng 10 năm 2022.
Năm ngoái, một nhân viên 3CX đã cài đặt X_Trader trên máy tính cá nhân của họ, điều này đã mở đường cho tin tặc xâm phạm 3CX vài tháng trước. “Mandiant đánh giá tác nhân đe dọa đã đánh cắp thông tin đăng nhập công ty 3CX của nhân viên từ hệ thống của anh ta,” 3CX cho biết theo cách riêng của mình báo cáo(Mở ra trong một cửa sổ mới).
(Tín dụng: Mandiant)
“Bằng chứng sớm nhất về sự xâm phạm được phát hiện trong môi trường công ty 3CX xảy ra thông qua VPN sử dụng thông tin đăng nhập công ty của nhân viên hai ngày sau khi máy tính cá nhân của nhân viên bị xâm phạm,” công ty cho biết thêm. Khi đã ở trong mạng của 3CX, tin tặc đã tiến hành đánh cắp các thông tin đăng nhập khác để có quyền truy cập vào hệ thống xây dựng phần mềm nội bộ dành cho phiên bản Windows và Mac của ứng dụng máy tính để bàn 3CX.
Giống như các công ty an ninh mạng khác, Mandiant cũng nghi ngờ các tin tặc đứng sau vụ tấn công có liên hệ với Triều Tiên. Trong những năm gần đây, các tin tặc của đất nước này đã trở nên nổi tiếng với việc nhắm mục tiêu vào người dùng và các công ty nhằm đánh cắp tiền điện tử và đột nhập vào các ngân hàng.
Mandiant cho biết thêm vụ việc cho thấy việc thỏa hiệp với một nhà cung cấp phần mềm đơn lẻ có thể trở thành một mối đe dọa lớn hơn như thế nào. Nhà cung cấp dịch vụ an ninh mạng cho biết thêm: “Các thỏa hiệp chuỗi cung ứng phần mềm xếp tầng chứng minh rằng các nhà khai thác Triều Tiên có thể khai thác quyền truy cập mạng theo những cách sáng tạo để phát triển và phân phối phần mềm độc hại”.
Vẫn chưa rõ có bao nhiêu người dùng mà tin tặc đã lây nhiễm qua các cuộc tấn công 3CX. Nhưng nhà cung cấp phần mềm chống vi-rút Kaspersky đã phát hiện bằng chứng cho thấy những người Triều Tiên bị nghi ngờ chỉ triển khai một cửa hậu “cho ít hơn mười máy bị nhiễm” đã cài đặt 3CX. Có bao nhiêu người dùng đã cài đặt ứng dụng X_Trader chứa phần mềm độc hại cũng chưa được biết, nhưng những người dùng đã cài đặt phần mềm này ngay lập tức .
Được giới thiệu bởi các biên tập viên của chúng tôi
Tin tặc đứng sau cuộc tấn công chiếm quyền điều khiển 3CX đã bắt đầu lây nhiễm ứng dụng từ nhiều tuần trước
Nhân viên LastPass có thể ngăn chặn hack bằng bản cập nhật phần mềm
Trang web chuẩn bị thuế eFile.com đã gửi phần mềm độc hại cho người dùng trong nhiều tuần
Bất chấp cuộc điều tra, Trading Technologies cho thấy nó không nhất thiết có lỗi. Công ty thực sự đã ngừng hoạt động phần mềm X_Trader vào năm 2020, mặc dù Mandiant tuyên bố rằng nó vẫn có sẵn trên trang web của công ty cho đến năm ngoái.
“Khách hàng của chúng tôi đã nhận được nhiều thông báo trong khoảng thời gian 18 tháng ngừng hoạt động thông báo cho họ rằng chúng tôi sẽ không còn hỗ trợ hoặc cung cấp dịch vụ cho XTRADER sau tháng 4 năm 2020,” Trading Technologies cho biết. “Không có lý do gì để bất kỳ ai tải xuống phần mềm vì TT đã ngừng lưu trữ, hỗ trợ và phục vụ XTRADER sau đầu năm 2020. Chúng tôi cũng xin nhấn mạnh rằng sự cố này hoàn toàn không liên quan đến nền tảng TT hiện tại.”
Trading Technologies cho biết thêm nó chỉ mới biết về những phát hiện vào tuần trước. “Chúng tôi không biết tại sao một nhân viên của 3CX lại tải xuống X_TRADER,” nó nói thêm.
Trong khi đó, 3CX vẫn tập trung vào việc củng cố an ninh của công ty sau cuộc tấn công chuỗi cung ứng. Công ty đã tạo các ứng dụng 3CX dành cho máy tính để bàn mới, “đã được kiểm tra và làm sạch hoàn toàn và có thể được coi là an toàn,” nó nói rằng.
Giống như những gì bạn đang đọc?
Đăng ký cho an ninhxem bản tin về các câu chuyện bảo mật và quyền riêng tư hàng đầu của chúng tôi được gửi ngay đến hộp thư đến của bạn.
Bản tin này có thể chứa các liên kết quảng cáo, giao dịch hoặc liên kết. Đăng ký nhận bản tin cho biết bạn đồng ý với Điều khoản sử dụng Và Chính sách bảo mật. Bạn có thể hủy đăng ký nhận bản tin bất cứ lúc nào.
Cảm ơn bạn đã đăng ký!
Đăng ký của bạn đã được xác nhận. Theo dõi hộp thư đến của bạn!
Đăng ký nhận các bản tin khác
No Comments