Компанията 3CX създаде приложението за настолни телефони 3CXDesktopApp и сега се оказва в центъра на атака по веригата за доставки. Като призната компания в областта на софтуерните телефони, 3CX предоставя услуги на много големи компании, включително Honda, Coca-Cola, BMW, Holiday Inn и други, според препоръките на техния уебсайт. Миналата седмица обаче те разкриха атака, включваща злонамерена версия на тяхното приложение, която си проправя път към компютрите на техните клиенти. Ето кратък преглед на атаката.
Съставената версия на 3CXDesktopApp е снабдена със зловредна библиотека. Когато се стартира с инсталацията на 3CXDesktopApp, библиотеката се опитва да изтегли файлове от хранилището на GitHub https://github[.]com/IconStorages/images. Това хранилище се състои от файлове с икони с кодирана в base64 команда в края. Когато бъде преведена, тази команда ще изтегли infostealer и ще го стартира. Infostealer ще направи запитване към историята на браузъра и системните детайли, за да докладва. В някои случаи, но не във всички, изследователите са установили, че зловредният софтуер ще комуникира с други сървъри. Дали го прави или не, вероятно е свързано с това какво е намерено на компрометирания компютър.
В момента вече не можем да получим достъп до https://github[.]com/IconStorages/images, но първоначалният полезен товар с библиотеките на зловредния код може все още да има резервен метод за компрометиране на устройства в бъдеще.
Времето и комуникацията, свързани с тези събития, водят до объркващи резултати за жертвите. Ето какво трябва да знаете за времето на атаката по веригата за доставки.
Според CISO, Пиер Журдан, „проблемът изглежда е в една от пакетните библиотеки, които компилирахме в приложението Windows Electron чрез GIT“. Много приложения използват средата Electron и за нито едно друго приложение, което я използва, не са известни компромати като този. По-късно те посочиха ffmpeg като източник на проникването – обвинение, което самите ffmpeg отхвърлиха.
Засега 3CX ви моли да използвате уеб базираното приложение, а не десктоп приложението. В същата тема за 3CX, както и преди, Галеа предполага, че може да не се върнат към десктоп приложението: „Моля, използвайте PWA за момента и честно казано, предлагам [да продължите] да го използвате. Дори не знам защо насърчаваме и двете и ще преразгледаме това“.
Атаки по веригата за доставки като тази обикновено идват от участници от национални държави, но не винаги. Тази атака може да е дошла от спонсорираната от Северна Корея група Labyrinth Collima, която съставлява част от по-голямата група Lazarus според доклади.
Ако сте клиент на WatchGuard Endpoint, вие сте защитени. Потвърдихме, че всички артефакти, свързани с тази атака по веригата за доставки, в момента се откриват като злонамерени от WatchGuard EDR и EPDR, включително злонамерени DLL, злонамерени MSI инсталатори и домейни. Освен това приложението DNSWatchGO и услугата DNSWatch на Firebox ще блокират всички компрометирани домейни, свързани с атаката.
Много продукти за крайни точки преди просто се доверяваха на даден софтуерен пакет, ако той е подписан с доверен сертификат, но в наши дни се нуждаем от по-силни защити, които се прилагат постоянно, като например поведенческо откриване и усъвършенствано машинно обучение. Много потребители във форумите на 3CX първоначално отхвърлиха предупрежденията, предоставени от техния AV софтуер, като фалшиви положителни резултати, мислейки, че софтуерът им е безопасен. Не пренебрегвайте сляпо тези предупреждения. Ако видите предупреждение от локалната си антивирусна програма, не го отхвърляйте, без първо да го разследвате.
URL адрес github[.]com/IconStorages/images
Имейл cliego.garcia@proton[.]me
Имейл philip.je@proton[.]me
SHA-1 cad1120d91b812acafef7175f949dd1b09c6c21a
SHA-1 bf939c9c261d27ee7bb92325cc588624fca75429
SHA-1 20d554a80d759c50d6537dd7097fed84dd258b3e
SHA-1 769383fc65d1386dd141c960c9970114547da0c2
SHA-1 3dc840d32ce86cebf657b17cef62814646ba8e98
SHA-1 9e9a5f8d86356796162cee881c843cde9eaedfb3
URI https://glcloudservice[.]com/v1/console
URI https://pbxsources[.]com/exchange
URI https://msstorageazure[.]com/window
URI https://officestoragebox[.]com/api/session
URI https://visualstudiofactory[.]com/workload
URI https://azuredeploystore[.]com/cloud/services
URI https://msstorageboxes[.]com/office
URI https://officeaddons[.]com/technologies
URI https://sourcesla
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
