Mandiant identifica la fuente de compromiso de la red interna

Si bien la investigación de Mandiant aún está en curso, ahora se tiene una comprensión general clara del ataque. Después de la actualización anterior, se comparte algunos detalles técnicos adicionales para ayudar a los clientes y a la comunidad. También se ha publicado indicadores adicionales de compromiso que las organizaciones pueden aprovechar para las defensas de su red.

Vector de intrusión inicial

Mandiant identificó que la fuente del compromiso de nuestra red interna comenzó en 2022 cuando un empleado instaló el software Trading Technologies X_TRADER en la computadora personal del empleado. Aunque el software de instalación de X_TRADER se descargó del sitio web de Trading Technologies, contenía el malware VEILEDSIGNAL, lo que permitió al autor de la amenaza (identificado como UNC4736) comprometer inicialmente y mantener la persistencia en la computadora personal del empleado.

El instalador de X_TRADER (X_TRADER_r7.17.90p608.exe) se firmó digitalmente con un certificado de firma de código válido con el asunto "Trading Technologies International, Inc". Estaba alojado en hxxps://download.tradingtechnologies[.]com. Si bien se informó que Trading Technologies retiró el software X_TRADER en 2020, el software aún estaba disponible para su descarga en el sitio web de Trading Technologies en 2022. El certificado de firma de código utilizado para firmar digitalmente el software malicioso expiraba en octubre de 2022.

Para obtener más detalles técnicos sobre el ataque a la cadena de suministro del software X_TRADER, incluidas las reglas YARA para la caza, lea el blog de Mandiant en https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise .

Movimiento lateral

Luego del compromiso inicial de la computadora personal del empleado usando el malware VEILEDSIGNAL, Mandiant evalúa que el actor de amenazas robó las credenciales corporativas 3CX del empleado de su sistema. VEILEDSIGNAL es un malware con todas las funciones que proporcionó al actor de amenazas acceso de nivel de administrador y persistencia en el sistema comprometido. La evidencia más temprana de compromiso descubierta dentro del entorno corporativo de 3CX ocurrió a través de la VPN usando las credenciales corporativas del empleado dos días después de que la computadora personal del empleado fuera comprometida.

Además, Mandiant identificó el uso de la herramienta Fast Reverse Proxy ( https://github.com/fatedier/frp ) que el actor de amenazas utilizó para moverse lateralmente dentro del entorno 3CX. La herramienta se llamaba MsMpEng.exe y se ubicaba en el directorio C:\Windows\System32.

Compromiso del entorno de compilación de CI/CD

La investigación de Mandiant pudo reconstruir los pasos del actor de amenazas a través de nuestro entorno a medida que recolectaban credenciales y se movían lateralmente. Eventualmente, el actor de amenazas pudo comprometer los entornos de compilación de Windows y macOS. En el entorno de compilación de Windows, el atacante implementó el lanzador TAXHAUL y el descargador COLDCAT que persistió mediante el secuestro de DLL para el servicio IKEEXT y se ejecutó con privilegios de LocalSystem. El servidor de compilación de macOS se comprometió al usar una puerta trasera POOLRAT que usaba LaunchDaemons como mecanismo de persistencia.

Atribución

Con base en la investigación de Mandiant sobre la intrusión de 3CX y el ataque a la cadena de suministro hasta el momento, atribuyen la actividad a un grupo de actores de amenazas llamado UNC4736. Mandiant evalúa con gran confianza que UNC4736 tiene un nexo con Corea del Norte.

Indicadores de compromiso

X_TRADER_r7.17.90p608.exe
SHA256: fbc50755913de619fb830fb95882e9703dbfda67dbd0f75bc17eadc9eda61370
SHA1: ced671856bbaef2f1878a2469fb44e9be8c20055
MD 5: ef4ab22e565684424b4142b1294f1f4d

Configuración
.
5187a1e1f922b99b09b77
_

Certificado de firma de código número de serie
9599605970805149948

msmpeng
.
4e359a198daf4ffca1ab9165
_

Comando y control

Mandiant identificó que el malware dentro del entorno 3CX hacía uso de la siguiente infraestructura adicional de comando y control.
www.tradingtechnologies[.]com/trading/order-management

Avanzando

A medida que se finaliza la investigación de incidentes, 3CX ha aprovechado esta oportunidad para continuar fortaleciendo las políticas, prácticas y tecnología para proteger aún más contra futuros ataques. Con eso, se esta anunciando un Plan de acción de seguridad de 7 pasos . En este plan, compromete a tomar medidas prácticas para fortalecer las defensas. Puedes leer con más detalle aquí.