- Nghiên cứu mới nhất cho thấy nhóm tấn công APT Lazarus hay còn được biết đến là UNC4736 của Triều Tiên đang thực hiện các cuộc tấn công chuỗi cung ứng nhằm vào 3CX.

Nhóm này đã xâm nhập vào cơ sở hạ tầng quan trọng trong lĩnh vực điện, năng lượng và các doanh nghiệp tham gia giao dịch tài chính thông qua việc cài đặt trojan vào ứng dụng X_TRADER. Những nghiên cứu mới nhất cũng cho thấy việc xâm nhập vào ứng dụng X_TRADER đã gây ảnh hưởng đến nhiều tổ chức khác ngoài phạm vi 3CX.

Các cuộc tấn công diễn ra kể từ tháng 9/2022 đến 11/2022 và vẫn còn tiếp diễn cho đến nay. Nhóm tấn công này đã nhằm mục tiêu vào ứng dụng X_TRADER thông qua việc tải xuống và cài cắm mã độc vào máy tính cá nhân của người dùng tạo điều kiện cho một cuộc tấn công chuỗi cung ứng nhằm vào 3CX.

APT Lazarus đã sử dụng backdoor VEILEDSIGNAL cho phép đối tượng tấn công truy cập vào máy tính của người dùng và thu thập thông tin đăng nhập trái phép. Sau đó dùng backdoor này nhằm xâm nhập vào hệ thống của phần mềm 3CX, Window và macOS để cài cắm mã độc. Mặc dù X_TRADER đã ngừng hoạt động từ tháng 4/2020 nhưng người dùng vẫn có thể tải xuống ứng dụng này trên các trang web của công ty.

Theo các nghiên cứu, việc triển khai backdoor VEILEDSIGNAL kết hợp với kỹ thuật process-injection có thể được đưa vào trình duyệt web Chrome, Firefox hoặc Edge.

Mô-đun này chứa thư viện liên kết động DDL (dynamic-link library) kết nối với trang web của Trading Technologies để ra lệnh và điều khiển C&C. Ngoài ra, cuộc tấn công này còn được liên kết với AppleJeus.

Để giảm thiểu nguy cơ bị tấn công mạng các cá nhân, doanh nghiệp nên kiểm tra trước khi truy cập vào bất kỳ đường link nào, thường xuyên sử dụng công cụ quét virus để sớm phát hiện và loại bỏ các phần mềm độc hại trên thiết bị của mình.

PV