One Article Review
| Source |  Volexity |
|---|---|
| Identifiant | 8388308 |
| Date de publication | 2023-03-30 15:37:54 (vue: 2023-09-27 12:11:34) |
| Titre | Le compromis de la chaîne d'approvisionnement 3CX mène à des incidents emblématiques 3CX Supply Chain Compromise Leads to ICONIC Incident |
| Texte | > [MISE À JOUR: Après une analyse supplémentaire de Shellcode utilisée dans l'emblématique, en conjonction avec d'autres observations de la communauté de sécurité plus large, la volexité attribue désormais l'activité décrite dans ce post à l'acteur de la menace de Lazarus.Plus précisément, en plus d'autres revendications de similitude, la séquence ShellCode {E8 00 00 00 00 59 49 89 C8 48 81 C1 58 06 00 00} semble avoir été utilisée uniqueêtre lié à Lazarus.Le poste d'origine a été laissé comme écrit.] Le mercredi 29 mars 2023, la volexité a pris conscience d'un compromis de la chaîne d'approvisionnement par un acteur de menace nord-coréen présumé, qui suit la volexité comme UTA0040 *.Les points de terminaison avec l'application de bureau 3CX installée ont reçu une mise à jour malveillante de ce logiciel signé par 3CX et téléchargé à partir de leurs serveurs.Cela faisait partie du processus de mise à jour automatique par défaut et [& # 8230;]
>[Update: Following additional analysis of shellcode used in ICONIC, in conjunction with other observations from the wider security community, Volexity now attributes the activity described in this post to the Lazarus threat actor. Specifically, in addition to other claims of similarity, the shellcode sequence {E8 00 00 00 00 59 49 89 C8 48 81 C1 58 06 00 00} appears to have been only used in the ICONIC loader and the APPLEJEUS malware, which is known to be linked to Lazarus. The original post has been left as written.] On Wednesday, March 29, 2023, Volexity became aware of a supply chain compromise by a suspected North Korean threat actor, which Volexity tracks as UTA0040*. Endpoints with the 3CX Desktop application installed received a malicious update of this software that was signed by 3CX and downloaded from their servers. This was part of the default automatic update process and would […] |
| Envoyé | Oui |
| Condensat | 2023 3cx activity actor addition additional analysis appears applejeus application attributes automatic aware became been chain claims community compromise conjunction default described desktop downloaded endpoints following from has have iconic incident installed known korean lazarus leads left linked loader malicious malware march north now observations only original other part post process received security sequence servers shellcode signed similarity software specifically supply suspected threat tracks update update: used uta0040* volexity wednesday which wider would written |
| Tags | Threat |
| Stories | APT 38 |
| Notes | ★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.