2023-03-30 13:14:52
Ресерчеры призывают удалять десктопное приложение
3CX Voice Over Internet Protocol (VOIP), которое активно используется для компрометации пользователей в ходе масштабной атаки на цепочку поставок.
3CX — разработчик ПО
VoIP IPBX, чья система насчитывает более 12 миллионов пользователей и используется более чем 600 000 компании по всему миру, включая таких известных, как
American Express, Coca-Cola, McDonald's, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA и HollidayInn.
Вредоносная активность замечена исследователями CrowdStrike и Sophos, которые сообщают о нацеливании на пользователей скомпрометированного
3CX как для
Windows, так и для
macOS.
Клиенты начали получать предупреждения безопасности неделю назад, после установки версий 3CXDesktopApp 18.12.407 и 18.12.416 для
Windows или 18.11.1213 и последней версии на
Mac.
Она включает в себя отправку маяка в инфраструктуру, контролируемую субъектом, развертывание полезной нагрузки второго этапа и, в небольшом числе случаев, действия на клавиатуре.
При этом самая распространенная активность после эксплуатации, наблюдаемая на сегодняшний день, это создание интерактивной командной оболочки.
Не разобравшись в вопросе, ресерчеры
CrowdStrike уже заподозрили в атаке северокорейскую Labyrinth Collima, в то время как
Sophos не могут гарантировать атрибуцию с высокой степенью достоверности.
SentinelOne также увидела очевидных связей с существующими кластерами угроз.
SentinelOne назвали новую атаку на цепочку поставок
SmoothOperator и отметили ее начало с момента загрузки установщика MSI с веб-сайта
3CX или обновления уже установленного ПО.
Один из троянских образцов клиента софтфона
3CX, которым поделился
CrowdStrike, был подписан цифровой подписью более трех недель назад, 3 марта 2023 года, с легитимным сертификатом
3CX Ltd, выданным
DigiCert. Причем этот же сертификат использовался в более старых версиях ПО.
При установке MSI или обновления извлекаются вредоносные DLL-файлы ffmpeg.dll (VirusTotal) и d3dcompiler_47.dll (VirusTotal), которые используются для выполнения следующего этапа атаки.
Исследователи
Sophos считают, что исполняемый файл 3CXDesktopApp.exe не является вредоносным, вредоносная DLL ffmpeg.dll будет загружена и использована для извлечения зашифрованной полезной нагрузки из d3dcompiler_47.dll и ее выполнения.
SentinelOne объясняет, что вредоносная ПО теперь будет загружать файлы значков, размещенные на
GitHub, которые содержат строки в кодировке Base64, добавленные к концу изображений. Репозиторий GitHub со значками показывает, что первый был загружен еще 7 декабря 2022 года.
Вредоносное ПО первой стадии использует эти строки Base64 для загрузки окончательной полезной нагрузки на скомпрометированные устройства — ранее неизвестное вредоносное ПО для кражи информации, загружаемое в виде DLL.
Вредоносная ПО способна собирать системную информацию, красть данные и сохраненные учетные данные из профилей пользователей
Chrome, Edge, Brave и Firefox.
Несмотря на многочисленные жалобы клиентов и доводы исследователей, разработчики из
3CX списывали все это как потенциальное ложное срабатывание и не признавали проблемы публично. Сегодня гендир компании
Ник Галеа все же
признал epic fail и посоветовал удалить приложение, пообещав в ближайшее время выпустить исправления.
Тем временем исследователи
выяснили, что к атаке на цепочку поставок привела атака на цепочку поставок, благодаря которой была заражена основная библиотека, которую использовали
3CX. Кроме того,
опубликовали расширенные YARA и Sigma для
3CX, а также бесплатный THOR Lite для сканирования файлов.
6.1K views10:14