Търсене
Close this search box.

Компанията 3CX създаде приложението за настолни телефони 3CXDesktopApp и сега се оказва в центъра на атака по веригата за доставки. Като призната компания в областта на софтуерните телефони, 3CX предоставя услуги на много големи компании, включително Honda, Coca-Cola, BMW, Holiday Inn и други, според препоръките на техния уебсайт. Миналата седмица обаче те разкриха атака, включваща злонамерена версия на тяхното приложение, която си проправя път към компютрите на техните клиенти. Ето кратък преглед на атаката.

Атаката

Съставената версия на 3CXDesktopApp е снабдена със зловредна библиотека. Когато се стартира с инсталацията на 3CXDesktopApp, библиотеката се опитва да изтегли файлове от хранилището на GitHub https://github[.]com/IconStorages/images. Това хранилище се състои от файлове с икони с кодирана в base64 команда в края. Когато бъде преведена, тази команда ще изтегли infostealer и ще го стартира. Infostealer ще направи запитване към историята на браузъра и системните детайли, за да докладва. В някои случаи, но не във всички, изследователите са установили, че зловредният софтуер ще комуникира с други сървъри. Дали го прави или не, вероятно е свързано с това какво е намерено на компрометирания компютър.

В момента вече не можем да получим достъп до https://github[.]com/IconStorages/images, но първоначалният полезен товар с библиотеките на зловредния код може все още да има резервен метод за компрометиране на устройства в бъдеще.

Странно време

Времето и комуникацията, свързани с тези събития, водят до объркващи резултати за жертвите. Ето какво трябва да знаете за времето на атаката по веригата за доставки.

  • Създаването на https://github[.]com/IconStorages/images показва, че тази атака е била планирана поне преди три месеца.
  • На 22 март SentinelOne е видяла първите индикатори за лошо поведение от страна на приложението. Потребителите започнаха да задават въпроси във форума на 3CX, но първоначално тези въпроси изглежда не стигнаха до никъде.
  • На 29 март множество доставчици идентифицираха версията на 3CXDesktopApp за Windows и Mac като злонамерен софтуер. SentinelOne също публикува статия за компрометирания софтуер.
  • Накрая, на 30 март, главният изпълнителен директор Ник Галеа публикува: „Вярно е“, отговаряйки на въпросите дали в 3CXDesktopApp има зловреден софтуер. Той също така каза: „За протокола се свързахме със SentinelOne за повече информация, но така и не я получихме. В момента издаваме нова компилация, извиняваме се за неудобството.“, което показва сериозен проблем в комуникацията между 3CX и SentinelOne.

Пробивът

Според CISO, Пиер Журдан, „проблемът изглежда е в една от пакетните библиотеки, които компилирахме в приложението Windows Electron чрез GIT“. Много приложения използват средата Electron и за нито едно друго приложение, което я използва, не са известни компромати като този. По-късно те посочиха ffmpeg като източник на проникването – обвинение, което самите ffmpeg отхвърлиха.

Засега 3CX ви моли да използвате уеб базираното приложение, а не десктоп приложението. В същата тема за 3CX, както и преди, Галеа предполага, че може да не се върнат към десктоп приложението: „Моля, използвайте PWA за момента и честно казано, предлагам [да продължите] да го използвате. Дори не знам защо насърчаваме и двете и ще преразгледаме това“.

Заключение

Атаки по веригата за доставки като тази обикновено идват от участници от национални държави, но не винаги. Тази атака може да е дошла от спонсорираната от Северна Корея група Labyrinth Collima, която съставлява част от по-голямата група Lazarus според доклади.

Ако сте клиент на WatchGuard Endpoint, вие сте защитени. Потвърдихме, че всички артефакти, свързани с тази атака по веригата за доставки, в момента се откриват като злонамерени от WatchGuard EDR и EPDR, включително злонамерени DLL, злонамерени MSI инсталатори и домейни. Освен това приложението DNSWatchGO и услугата DNSWatch на Firebox ще блокират всички компрометирани домейни, свързани с атаката.

Много продукти за крайни точки преди просто се доверяваха на даден софтуерен пакет, ако той е подписан с доверен сертификат, но в наши дни се нуждаем от по-силни защити, които се прилагат постоянно, като например поведенческо откриване и усъвършенствано машинно обучение. Много потребители във форумите на 3CX първоначално отхвърлиха предупрежденията, предоставени от техния AV софтуер, като фалшиви положителни резултати, мислейки, че софтуерът им е безопасен. Не пренебрегвайте сляпо тези предупреждения. Ако видите предупреждение от локалната си антивирусна програма, не го отхвърляйте, без първо да го разследвате.

IOCs

URL адрес github[.]com/IconStorages/images

Имейл cliego.garcia@proton[.]me

Имейл philip.je@proton[.]me

SHA-1 cad1120d91b812acafef7175f949dd1b09c6c21a
SHA-1 bf939c9c261d27ee7bb92325cc588624fca75429
SHA-1 20d554a80d759c50d6537dd7097fed84dd258b3e
SHA-1 769383fc65d1386dd141c960c9970114547da0c2
SHA-1 3dc840d32ce86cebf657b17cef62814646ba8e98
SHA-1 9e9a5f8d86356796162cee881c843cde9eaedfb3
URI https://glcloudservice[.]com/v1/console
URI https://pbxsources[.]com/exchange
URI https://msstorageazure[.]com/window
URI https://officestoragebox[.]com/api/session
URI https://visualstudiofactory[.]com/workload
URI https://azuredeploystore[.]com/cloud/services
URI https://msstorageboxes[.]com/office
URI https://officeaddons[.]com/technologies
URI https://sourcesla

Източник: secplicity.org

Подобни публикации

14 ноември 2024

Киберпрестъпници атакуват аерокосмическия секто...

Активна от септември миналата година фишинг кампания е насочена към...
14 ноември 2024

Държавни служители на САЩ са компрометирани при...

CISA и ФБР потвърдиха, че китайски хакери са компрометирали „частни...
14 ноември 2024

Критичен бъг в EoL устройствата D-Link NAS вече...

Атакуващите вече се насочват към критична уязвимост с публично дост...
14 ноември 2024

Функция на Pixel AI вече анализира телефонни ра...

Google добавя нова функция за защита от измами с помощта на изкуств...
13 ноември 2024

Най-използваните уязвимости през 2023 г. според...

Според данни от правителствени агенции от разузнавателния алианс „П...
13 ноември 2024

Защо с 10 езика за програмиране не сте по-интер...

Нови данни от LinkedIn за най-търсените професии в платформата през...
13 ноември 2024

Полезни практики при онлайн пазаруването

Средата на ноември е. С наближаването на Коледните празници се акти...
Бъдете социални
Още по темата
11/11/2024

Легални ли са бенгалските к...

Това е котешка стъпка за хакерите....
11/11/2024

Пробив на адвокатска кантор...

Информацията за над 300 000 пациенти...
08/11/2024

Уязвимост на Palo Alto Netw...

Според агенцията за киберсигурност CISA уязвимост...
Последно добавени
14/11/2024

Киберпрестъпници атакуват а...

Активна от септември миналата година фишинг...
14/11/2024

Държавни служители на САЩ с...

CISA и ФБР потвърдиха, че китайски...
14/11/2024

Критичен бъг в EoL устройст...

Атакуващите вече се насочват към критична...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!