Atualização de Segurança Mandiant - Vetor de Intrusão Inicial

Atualização de Segurança Quinta-feira, 20 de Abril de 2023 – Vetor de Intrusão Inicial Encontrado

Posted on April 24th, 2023 by Giovanna Saldanha, Tradutora e Colaboradora

Mandiant identifica a origem do comprometimento da rede interna

Embora a investigação da Mandiant ainda esteja em andamento, agora temos uma compreensão geral clara do ataque e sabemos mais sobre o vetor de intrusão inicial. Seguindo nossa atualização anterior, gostaríamos de compartilhar alguns detalhes técnicos adicionais para apoiar nossos clientes e a comunidade. Também publicamos indicadores adicionais de comprometimento que as organizações podem aproveitar para suas defesas de rede.

Vetor de Intrusão Inicial

A Mandiant identificou a fonte de nosso comprometimento de rede interna que começou em 2022, quando um funcionário instalou o software Trading Technologies X_TRADER em seu computador pessoal. Embora o software de instalação do X_TRADER tenha sido baixado do site da Trading Technologies, ele continha o malware VEILEDSIGNAL, que permitiu que o agente da ameaça (identificado como UNC4736) inicialmente comprometesse e mantivesse a persistência somente no computador pessoal do funcionário.

O instalador do X_TRADER (X_TRADER_r7.17.90p608.exe) foi assinado digitalmente por um certificado de assinatura de código válido com o assunto “Trading Technologies International, Inc” e foi hospedado em hxxps://download.tradingtechnologies[.]com. Embora o software X_TRADER tenha sido aposentado em 2020 pela Trading Technologies, o software ainda estava disponível para download no site da Trading Technologies em 2022. O certificado de assinatura de código usado para assinar digitalmente o software malicioso foi definido para expirar em outubro de 2022.

Para obter mais detalhes técnicos sobre o ataque à cadeia de suprimentos do software X_TRADER, incluindo regras YARA para caça, leia o blog da Mandiant em https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise.

Movimento Lateral

Após o comprometimento inicial do computador pessoal do funcionário usando o malware VEILEDSIGNAL, a Mandiant avalia que o agente da ameaça roubou as credenciais corporativas 3CX do funcionário de seu sistema. O VEILEDSIGNAL é um malware completo que forneceu ao agente da ameaça acesso de nível de administrador e persistência ao sistema comprometido. A primeira evidência de comprometimento descoberta no ambiente corporativo 3CX ocorreu por meio da VPN usando as credenciais corporativas do funcionário dois dias após o computador pessoal do funcionário ter sido comprometido.

Além disso, a Mandiant identificou o uso da ferramenta Fast Reverse Proxy (https://github.com/fatedier/frp), que o agente da ameaça usou para se mover lateralmente dentro do ambiente 3CX. A ferramenta foi nomeada MsMpEng.exe e localizada no diretório C:\Windows\System32.

Comprometimento do Ambiente de Compilação CI/CD

A investigação da Mandiant foi capaz de reconstruir as etapas do agente da ameaça em nosso ambiente enquanto coletavam credenciais e se moviam lateralmente. Eventualmente, o vetor de intrusão inicial conseguiu comprometer os ambientes de compilação do Windows e do macOS. No ambiente de compilação do Windows, o invasor implantou o iniciador TAXHAUL e o downloader COLDCAT, que persistiu executando o sequestro de DLL para o serviço IKEEXT e foi executado com privilégios LocalSystem. O servidor de compilação macOS foi comprometido usando um backdoor POOLRAT usando LaunchDaemons como um mecanismo de persistência.

Atribuição

Com base na investigação da Mandiant sobre a intrusão 3CX e o ataque à cadeia de suprimentos até agora, eles atribuem a atividade a um cluster de agentes de ameaças chamado UNC4736. A Mandiant avalia com alta confiança que o UNC4736 tem um nexo norte-coreano.

Indicadores de Comprometimento

X_TRADER_r7.17.90p608.exe
SHA256: fbc50755913de619fb830fb95882e9703dbfda67dbd0f75bc17eadc9eda61370
SHA1: ced671856bbaef2f1878a2469fb44e9be8c20055
MD5: ef4ab22e565684424b4142b1294f1f4d

Setup.exe
SHA256: 6e11c02485ddd5a3798bf0f77206f2be37487ba04d3119e2d5ce12501178b378
SHA1: 3bda9ca504146ad5558939de9fece0700f57c1c0
MD5: 00a43d64f9b5187a1e1f922b99b09b77

Code signing certificate serial #
9599605970805149948

MsMpEng.exe
SHA256: 24d5dd3006c63d0f46fb33cbc1f576325d4e7e03e3201ff4a3c1ffa604f1b74a
SHA1: d7ba13662fbfb254acaad7ae10ad51e0bd631933
MD5: 19dbffec4e359a198daf4ffca1ab9165

Comando e Controle

A Mandiant identificou que o malware dentro do ambiente 3CX fazia uso da seguinte infraestrutura adicional de comando e controle.
www.tradingtechnologies[.]com/trading/order-management

Daqui para Frente

Nossa prioridade ao longo deste incidente foi a transparência sobre o que sabemos, bem como as ações que tomamos.

À medida que encerramos nossa investigação de incidentes, a 3CX aproveitou esta oportunidade para continuar a fortalecer nossas políticas, práticas e tecnologia para proteger ainda mais contra ataques futuros. Com isso, estamos anunciando um Plano de Ação de Segurança em 7 Etapas. Neste plano, estamos nos comprometendo com medidas acionáveis para fortalecer nossas defesas. Você pode ler com mais detalhes aqui.

Comente sobre o artigo