ทีม Threat Hunter Team ของ Symantec รายงานว่า จากการโจมตี X_Trader software จนนำไปสู่เหตุการณ์โจมตี 3CX supply chain attack ในเดือนมีนาคม 2023 ได้ส่งผลกระทบไปยังองค์กร และหน่วยงานโครงสร้างพื้นฐานที่สำคัญหลายแห่งในสหรัฐอเมริกา และยุโรป
โดยจากการตรวจสอบของ Mandiant ที่พบว่าเหตุการณ์โจมตี 3CX supply chain attack เริ่มต้นมาจากการโจมตีเว็บไซต์ของบริษัท Trading Technologies บนตัว X_Trader software ซึ่งเป็นระบบอัตโนมัติในการซื้อขายหุ้น หลังจากนั้นจึงได้ทำการโจมตีต่อไปยัง 3CX และทำการแทรกซอฟต์แวร์อันตรายที่ฝังโทรจันใน 3CXDesktopApp ทั้งใน Windows และ macOS ซึ่งมีความเกี่ยวข้องกับกลุ่ม Hacker ชาวเกาหลีเหนือในชื่อ UNC4736 และเกี่ยวข้องกับ Lazarus Group ซึ่งมีแรงจูงใจทางด้านการเงิน และอยู่เบื้องหลัง Operation AppleJeus
การโจมตี 3CXDesktopApp
ในเวอร์ชัน Windows ทาง Hacker จะเรียกใช้งาน TAXHAUL และ COLDCAT downloader เพื่อฝังตัวในระบบ และดำเนินการ DLL hijacking สำหรับบริการ IKEEXT เพื่อใช้งานด้วยสิทธิ์ของ LocalSystem และในเวอร์ชัน macOS ทาง Hacker จะโจมตีโดยใช้แบ็คดอร์ POOLRAT รวมถึงใช้ LaunchDaemons เพื่อฝังตัวในระบบ ซึ่งการโจมตีทั้งหมดนี้ ทำให้ Hacker สามารถเข้าถึงอุปกรณ์ที่ถูกโจมตีทั้งหมดผ่านทางอินเทอร์เน็ตจากระยะไกลได้
จุดเริ่มต้นจากการโจมตี X_Trader software
โดย Hacker จะทำการอัปเดต X_Trader software ที่เป็นอันตราย ซึ่งได้ฝังโทรจันที่สามารถติดตั้งแบ็คดอร์ VEILEDSIGNAL multi-stage modular บนระบบของเป้าหมาย เมื่อติดตั้งเสร็จ มัลแวร์จะเรียกใช้ shellcode หรือฝัง communication module ไปใน Chrome, Firefox และ Edge ที่กำลังทำงานอยู่ในระบบเป้าหมาย
ปัจจุบัน ทีม Threat Hunter Team พบว่าองค์กรที่ได้รับผลกระทบจากการโจมตีครั้งนี้เป็นองค์กรโครงสร้างพื้นฐานที่สำคัญสองแห่งในภาคพลังงาน หนึ่งแห่งในสหรัฐอเมริกา และอีกแห่งในยุโรป รวมไปถึงองค์กรที่เกี่ยวข้องกับการซื้อขายทางการเงินอีกสองแห่ง ซึ่งกำลังจะเปิดเผยเหตุการณ์การถูกโจมตีในเร็ว ๆ นี้ ทำให้ Symantec คาดการณ์ว่าน่าจะมีองค์กรอีกหลายแห่งที่ถูกโจมตี ซึ่งยังไม่ออกมาเปิดเผยข้อมูล และอาจจะมีมากกว่าที่คาดการณ์ไว้
ที่มา : bleepingcomputer
You must be logged in to post a comment.