İşletmelerin müşteri iletişimi ve web sitesi ziyaretçileri için kullandığı yaygın olarak konuşlandırılmış bir SaaS (hizmet olarak yazılım) olan Comm100 Canlı Sohbet uygulaması için resmi yükleyici, yeni bir tedarik zinciri saldırısının bir parçası olarak truva attı.
Crowdstrike'dan bir rapor, enfekte olmuş varyantın satıcının web sitesinden en az 26 Eylül'den 29 Eylül sabahına kadar mevcut olduğunu söyledi.
Trojanize yükleyici geçerli bir dijital imza kullandığından, antivirüs çözümleri lansmanı sırasında uyarıları tetiklemez ve gizli bir tedarik zinciri saldırısına izin verir.
Crowdstrike, saldırganların COMM100 Canlı Sohbet Yükleyicisinin aşağıdaki sürümlerinde bulunan "Main.js" dosyasına bir JavaScript arka kapı yerleştirdiğini söylüyor:
Arka kapı, saldırganlara mağdur son noktalara uzaktan kabuk erişimini sağlayan sert kodlanmış bir URL'den ("http [:] // api.amazonawsReplay [.] Com/liveHelp/collect") ikinci aşamalı bir JS komut dosyası getiriyor. komut satırı.
Crowdstrike, yükü doğrudan bellekten çalışan "Notepad.exe" gibi meşru pencereler süreçleri bağlamında yüklemek için DLL sipariş-hiJacking tekniğini kullanan kötü amaçlı yükleyicilerin ("Midlrtmd.dll") dağıtılması gibi kontromise sonrası etkinlik gözlemledi.
Yükleyici, C2'den son yükü ("lisans") getirir ve şifresini çözmek için sabit kodlu bir RC4 anahtarı kullanır.
Crowdstrike, saldırıyı Çin tabanlı tehdit aktörlerine ve daha spesifik olarak Asya çevrimiçi kumar kuruluşlarını hedefleyen bir küme ile orta güvenle ilişkilendiriyor.
Bu, aşağıdaki karakteristik tekniklere ve bulgulara dayanmaktadır:
Araştırmacılar sorunu COMM100'e bildirdi ve geliştirici temiz bir yükleyici, sürüm 10.0.9 yayınladı. Kullanıcıların canlı sohbet uygulamasını hemen güncellemeleri şiddetle tavsiye edilir.
Şu anda, COMM100, saldırganların sistemlerine nasıl erişmeyi ve meşru kurulumu zehirlemeyi başardıkları hakkında bir açıklama sağlamamıştır.
Dün, Kanada Siber Güvenlik Merkezi, COMM100 canlı sohbet ürününün truva atlı bir versiyonunu kullanabilecek kuruluşlar arasında farkındalığı artırmaya yardımcı olmak için olay hakkında bir uyarı yayınladı.
Yazıda, ajans, en son, trojanize olmayan versiyona yükseltmenin uzlaşma riskini ortadan kaldırmak için yeterli olmadığını vurgulamaktadır, çünkü tehdit aktörleri zaten kalıcılık oluşturmuş olabilir.
Enfeksiyon belirtileri ve uzlaşma göstergeleri hakkında daha fazla ayrıntı için Crowdstrike raporunun alt bölümünü kontrol edin.
Bilgisayar korsanları Putty SSH müşterisini Backdoor Media Company'ye Trojanize
Lampion kötü amaçlı yazılım, kimlik avı saldırılarına geri döner Wetransfer'ı kötüye kullanıyor
Çinli hackerlar yeni Linux, macOS kötü amaçlı yazılım ile backdoor sohbet uygulaması
35.000 kod depoları hacklenmedi - ancak kötü amaçlı yazılım sunmak için klonlar taşkın github
Lazarus Hacker'ları kötüye kullanma Dell sürücü hatası yeni Fudmodule rootkit kullanarak
Kaynak: Bleeping Computer