Ресерчеры призывают удалять десктопное приложение 3CX Voice Ov | SecAtor

Ресерчеры призывают удалять десктопное приложение 3CX Voice Over Internet Protocol (VOIP), которое активно используется для компрометации пользователей в ходе масштабной атаки на цепочку поставок.

3CX — разработчик ПО VoIP IPBX, чья система насчитывает более 12 миллионов пользователей и используется более чем 600 000 компании по всему миру, включая таких известных, как American Express, Coca-Cola, McDonald's, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA и HollidayInn.

Вредоносная активность замечена исследователями CrowdStrike и Sophos, которые сообщают о нацеливании на пользователей скомпрометированного 3CX как для Windows, так и для macOS.

Клиенты начали получать предупреждения безопасности неделю назад, после установки версий 3CXDesktopApp 18.12.407 и 18.12.416 для Windows или 18.11.1213 и последней версии на Mac.

Она включает в себя отправку маяка в инфраструктуру, контролируемую субъектом, развертывание полезной нагрузки второго этапа и, в небольшом числе случаев, действия на клавиатуре.

При этом самая распространенная активность после эксплуатации, наблюдаемая на сегодняшний день, это создание интерактивной командной оболочки.

Не разобравшись в вопросе, ресерчеры CrowdStrike уже заподозрили в атаке северокорейскую Labyrinth Collima, в то время как Sophos не могут гарантировать атрибуцию с высокой степенью достоверности. SentinelOne также увидела очевидных связей с существующими кластерами угроз.

SentinelOne назвали новую атаку на цепочку поставок SmoothOperator и отметили ее начало с момента загрузки установщика MSI с веб-сайта 3CX или обновления уже установленного ПО.

Один из троянских образцов клиента софтфона 3CX, которым поделился CrowdStrike, был подписан цифровой подписью более трех недель назад, 3 марта 2023 года, с легитимным сертификатом 3CX Ltd, выданным DigiCert. Причем этот же сертификат использовался в более старых версиях ПО.

При установке MSI или обновления извлекаются вредоносные DLL-файлы ffmpeg.dll (VirusTotal) и d3dcompiler_47.dll (VirusTotal), которые используются для выполнения следующего этапа атаки.

Исследователи Sophos считают, что исполняемый файл 3CXDesktopApp.exe не является вредоносным, вредоносная DLL ffmpeg.dll будет загружена и использована для извлечения зашифрованной полезной нагрузки из d3dcompiler_47.dll и ее выполнения.

SentinelOne объясняет, что вредоносная ПО теперь будет загружать файлы значков, размещенные на GitHub, которые содержат строки в кодировке Base64, добавленные к концу изображений. Репозиторий GitHub со значками показывает, что первый был загружен еще 7 декабря 2022 года.

Вредоносное ПО первой стадии использует эти строки Base64 для загрузки окончательной полезной нагрузки на скомпрометированные устройства — ранее неизвестное вредоносное ПО для кражи информации, загружаемое в виде DLL.

Вредоносная ПО способна собирать системную информацию, красть данные и сохраненные учетные данные из профилей пользователей Chrome, Edge, Brave и Firefox.

Несмотря на многочисленные жалобы клиентов и доводы исследователей, разработчики из 3CX списывали все это как потенциальное ложное срабатывание и не признавали проблемы публично. Сегодня гендир компании Ник Галеа все же признал epic fail и посоветовал удалить приложение, пообещав в ближайшее время выпустить исправления.

Тем временем исследователи выяснили, что к атаке на цепочку поставок привела атака на цепочку поставок, благодаря которой была заражена основная библиотека, которую использовали 3CX. Кроме того, опубликовали расширенные YARA и Sigma для 3CX, а также бесплатный THOR Lite для сканирования файлов.