В марте 2023 года компания Mandiant Consulting отреагировала на компрометацию цепочки поставок, которая затронула программное обеспечение 3CX Desktop App. В ходе этого реагирования Mandiant определила, что первоначальный вектор компрометации сети 3CX был связан с троянским программным обеспечением, распространяемым из более ранней цепи поставок программного обеспечения, которая началась с поддельной программы установки X_TRADER, программного пакета, предоставленного веб-сайтом Trading Technologies. Mandiant определила, что сложный процесс загрузки привел к развертыванию VEILEDSIGNAL, многоступенчатого модульного бэкдора, и его модулей.
Mandiant отслеживает эту активность как UNC4736, угрожающий агент, предположительно базирующийся в Северной Корее. Mandiant также выявила слабое совпадение инфраструктуры между UNC4736 и двумя кластерами APT43 (он же Emerald Sleet, формально Thallium), однако Microsoft не наблюдает совпадений с APT 43.
Indicators of Compromise
IPv4
- 185.38.151.11
Domains
- akamaicontainer.com
- apollo-crypto.org.shilaerc20.com
- azureonlinecloud.com
- curvefinances.com
- journalide.org
- msboxonline.com
- msedgepackageinfo.com
- nxmnv.site
- pbxphonenetwork.com
URLs
- https://www.tradingtechnologies.com/trading/order-management
MD5
- 451c23709ecd5a8461ad060f6346930c
- c6441c961dcad0fe127514a918eaabd4
- d9d19abffc2c7dac11a16745f4aea44f
- ef4ab22e565684424b4142b1294f1f4d
