Ընկերություններին հաղորդակցման ծառայություններ մատուցող 3CX provider-ը հաստատել է, որ Windows-ի և macOS-ի համար նախատեսված հավելվածի վրա իրականացված հարձակումը հյուսիսկորեացի հարձակվողի ձեռքի գործն է:
Կատարված ուսումնասիրություններն ու բացահայտումները Google-ին պատկանող Mandiant-ի կողմից անցկացված միջանկյալ գնահատման արդյունքներ են: Սպառնալիքների հետախուզության և միջադեպերի արձագանքման ստորաբաժանումը հետևում է գործողությունների ընթացքին՝ UNC4736 անվանումով:
Mandiant-ի հետաքննությունը պարզել է, որ հարձակման հեղինակները վնասել են 3CX համակարգերը TAXHAUL կոդային malware-ով, որը նախատեսված է «complex downloader» պարունակող COLDCAT-ը գաղտնազերծելու համար:
«Windows-ում TAXHAUL malware-ը տեղակայելու համար հարձակվողն օգտագործել է DLL side-loading», – ասվում է 3CX-ում:
Նշվում է, որ հարձակման թիրախում գտնվող macOS համակարգերում backdoor է բացվել օգտագործելով մեկ այլ malware, որը կոչվում է SIMPLESEA: Այն C-ի վրա հիմնված malware է, որը հաղորդակցվում է HTTP-ի միջոցով՝ ֆայլեր փոխանցելու և կոնֆիգուրացիաները թարմացնելու համար:
3CX միջավայրում հայտնաբերված malware-ները կապվում են առնվազն չորս command-and-control (C2) սերվերների հետ՝ azureonlinecloud[.]com, akamaicontainer[.]com, journalide[.]org և msboxonline[.]com:
Աղբյուրը՝ https://thehackernews.com/
