Търсене
Close this search box.

Атаката на 3CX – обобщение

Компанията 3CX създаде приложението за настолни телефони 3CXDesktopApp и сега се оказва в центъра на атака по веригата за доставки. Като призната компания в областта на софтуерните телефони, 3CX предоставя услуги на много големи компании, включително Honda, Coca-Cola, BMW, Holiday Inn и други, според препоръките на техния уебсайт. Миналата седмица обаче те разкриха атака, включваща злонамерена версия на тяхното приложение, която си проправя път към компютрите на техните клиенти. Ето кратък преглед на атаката.

Атаката

Съставената версия на 3CXDesktopApp е снабдена със зловредна библиотека. Когато се стартира с инсталацията на 3CXDesktopApp, библиотеката се опитва да изтегли файлове от хранилището на GitHub https://github[.]com/IconStorages/images. Това хранилище се състои от файлове с икони с кодирана в base64 команда в края. Когато бъде преведена, тази команда ще изтегли infostealer и ще го стартира. Infostealer ще направи запитване към историята на браузъра и системните детайли, за да докладва. В някои случаи, но не във всички, изследователите са установили, че зловредният софтуер ще комуникира с други сървъри. Дали го прави или не, вероятно е свързано с това какво е намерено на компрометирания компютър.

В момента вече не можем да получим достъп до https://github[.]com/IconStorages/images, но първоначалният полезен товар с библиотеките на зловредния код може все още да има резервен метод за компрометиране на устройства в бъдеще.

Странно време

Времето и комуникацията, свързани с тези събития, водят до объркващи резултати за жертвите. Ето какво трябва да знаете за времето на атаката по веригата за доставки.

  • Създаването на https://github[.]com/IconStorages/images показва, че тази атака е била планирана поне преди три месеца.
  • На 22 март SentinelOne е видяла първите индикатори за лошо поведение от страна на приложението. Потребителите започнаха да задават въпроси във форума на 3CX, но първоначално тези въпроси изглежда не стигнаха до никъде.
  • На 29 март множество доставчици идентифицираха версията на 3CXDesktopApp за Windows и Mac като злонамерен софтуер. SentinelOne също публикува статия за компрометирания софтуер.
  • Накрая, на 30 март, главният изпълнителен директор Ник Галеа публикува: „Вярно е“, отговаряйки на въпросите дали в 3CXDesktopApp има зловреден софтуер. Той също така каза: „За протокола се свързахме със SentinelOne за повече информация, но така и не я получихме. В момента издаваме нова компилация, извиняваме се за неудобството.“, което показва сериозен проблем в комуникацията между 3CX и SentinelOne.

Пробивът

Според CISO, Пиер Журдан, „проблемът изглежда е в една от пакетните библиотеки, които компилирахме в приложението Windows Electron чрез GIT“. Много приложения използват средата Electron и за нито едно друго приложение, което я използва, не са известни компромати като този. По-късно те посочиха ffmpeg като източник на проникването – обвинение, което самите ffmpeg отхвърлиха.

Засега 3CX ви моли да използвате уеб базираното приложение, а не десктоп приложението. В същата тема за 3CX, както и преди, Галеа предполага, че може да не се върнат към десктоп приложението: „Моля, използвайте PWA за момента и честно казано, предлагам [да продължите] да го използвате. Дори не знам защо насърчаваме и двете и ще преразгледаме това“.

Заключение

Атаки по веригата за доставки като тази обикновено идват от участници от национални държави, но не винаги. Тази атака може да е дошла от спонсорираната от Северна Корея група Labyrinth Collima, която съставлява част от по-голямата група Lazarus според доклади.

Ако сте клиент на WatchGuard Endpoint, вие сте защитени. Потвърдихме, че всички артефакти, свързани с тази атака по веригата за доставки, в момента се откриват като злонамерени от WatchGuard EDR и EPDR, включително злонамерени DLL, злонамерени MSI инсталатори и домейни. Освен това приложението DNSWatchGO и услугата DNSWatch на Firebox ще блокират всички компрометирани домейни, свързани с атаката.

Много продукти за крайни точки преди просто се доверяваха на даден софтуерен пакет, ако той е подписан с доверен сертификат, но в наши дни се нуждаем от по-силни защити, които се прилагат постоянно, като например поведенческо откриване и усъвършенствано машинно обучение. Много потребители във форумите на 3CX първоначално отхвърлиха предупрежденията, предоставени от техния AV софтуер, като фалшиви положителни резултати, мислейки, че софтуерът им е безопасен. Не пренебрегвайте сляпо тези предупреждения. Ако видите предупреждение от локалната си антивирусна програма, не го отхвърляйте, без първо да го разследвате.

IOCs

URL адрес github[.]com/IconStorages/images

Имейл cliego.garcia@proton[.]me

Имейл philip.je@proton[.]me

SHA-1 cad1120d91b812acafef7175f949dd1b09c6c21a
SHA-1 bf939c9c261d27ee7bb92325cc588624fca75429
SHA-1 20d554a80d759c50d6537dd7097fed84dd258b3e
SHA-1 769383fc65d1386dd141c960c9970114547da0c2
SHA-1 3dc840d32ce86cebf657b17cef62814646ba8e98
SHA-1 9e9a5f8d86356796162cee881c843cde9eaedfb3
URI https://glcloudservice[.]com/v1/console
URI https://pbxsources[.]com/exchange
URI https://msstorageazure[.]com/window
URI https://officestoragebox[.]com/api/session
URI https://visualstudiofactory[.]com/workload
URI https://azuredeploystore[.]com/cloud/services
URI https://msstorageboxes[.]com/office
URI https://officeaddons[.]com/technologies
URI https://sourcesla

Източник: secplicity.org

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...
Бъдете социални
Още по темата
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
27/05/2024

Атаките от типа "нулев ден"...

Атаките от типа „нулев ден“ продължават...
25/05/2024

Хакери избягаха с 3 000 гал...

Почти всеки ден новинарските агенции съобщават...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!