Μια ψηφιακά υπογεγραμμένη και trojanized έκδοση του desktop client 3CX Voice Over Internet Protocol (VOIP) φέρεται να χρησιμοποιείται για τη στόχευση των πελατών της εταιρείας σε μια συνεχιζόμενη επίθεση στην αλυσίδα εφοδιασμού.
Δείτε επίσης: NullMixer πολυμορφικό malware: Σε ένα μήνα έχει εισβάλλει σε 8K στόχους
Με πάνω από 600.000 εταιρείες και 12 εκατομμύρια χρήστες σε όλο τον κόσμο να βασίζονται στο λογισμικό του τηλεφωνικού συστήματος 3CX, δεν είναι περίεργο που η 3CX είναι η κορυφαία εταιρεία ανάπτυξης VoIP IPBX. Από μικρές επιχειρήσεις έως μεγάλες επιχειρήσεις, οι πελάτες εμπιστεύονται ότι μπορούν να βασιστούν σε αυτό το προϊόν για να καλύψουν όλες τις τηλεπικοινωνιακές τους ανάγκες.
Γνωστές εταιρείες και ιδρύματα όπως οι American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance , NHS , Toyota , Mercedes-Benz , IKEA & HollidayInn έχουν εμπιστευτεί την εταιρεία αυτή για τις εξαιρετικές υπηρεσίες της.
Οι ειδοποιήσεις της Sophos και της CrowdStrike αποκάλυψαν ότι οι κακόβουλοι φορείς στοχεύουν σε χρήστες τόσο των Windows όσο και των macOS της παραβιασμένης εφαρμογής softphone 3CX.
Παρόλο που η CrowdStrike θεωρεί ότι η Labyrinth Collima, μια ομάδα hacking που χρηματοδοτείται από το κράτος της Βόρειας Κορέας, είναι η δύναμη πίσω από αυτή την επίθεση, οι ερευνητές της Sophos δεν είναι σε θέση να πιστοποιήσουν την απόδοση με βεβαιότητα.
Η δραστηριότητα του Labyrinth Collima είναι γνωστό ότι αλληλεπικαλύπτεται με άλλους απειλητικούς παράγοντες που παρακολουθούνται ως Lazarus Group από την Kaspersky, Covellite από Dragos, UNC4034 από Mandiant, Zinc από τη Microsoft και Nickel Academy από την Secureworks.
Δείτε επίσης: Φόβοι για κλοπή δεδομένων παιδιών στην επίθεση ransomware Fortra
Επίθεση στην αλυσίδα εφοδιασμού λογισμικού SmoothOperator
Το βράδυ της Πέμπτης, η SentinelOne και η Sophos δημοσίευσαν αναφορές που έδειχναν ότι οι επιτιθέμενοι στόχευαν την εφαρμογή desktop 3CX σε μια επίθεση στην αλυσίδα εφοδιασμού διανέμοντας trojanized εκδόσεις.
Αυτή η επίθεση supply chain, που ονομάστηκε «SmoothOperator» από τη SentinelOne, ξεκινά όταν γίνει λήψη του προγράμματος εγκατάστασης MSI από τον ιστότοπο της 3CX ή προωθηθεί μια ενημέρωση σε μια ήδη εγκατεστημένη εφαρμογή desktop.
Όταν εγκατασταθεί το MSI ή η ενημέρωση, θα εξαγάγει ένα κακόβουλο ffmpeg.dll [VirusTotal] και τα αρχεία DLL d3dcompiler_47.dll [VirusTotal], τα οποία χρησιμοποιούνται για την εκτέλεση του επόμενου σταδίου της επίθεσης.
Ενώ η Sophos δηλώνει ότι το εκτελέσιμο αρχείο 3CXDesktopApp.exe δεν είναι κακόβουλο, το κακόβουλο ffmpeg.dll DLL θα φορτωθεί και θα χρησιμοποιηθεί για την εξαγωγή ενός κρυπτογραφημένου payload από το d3dcompiler_47.dll και την εκτέλεσή του.
Δείτε επίσης: Οι χάκερ χρησιμοποιούν το spyware της Variston στα Ηνωμένα Αραβικά Εμιράτα
Το SentinelOne εξηγεί ότι το κακόβουλο λογισμικό θα κατεβάζει τώρα αρχεία εικονιδίων που φιλοξενούνται στο GitHub και περιέχουν κωδικοποιημένα strings Base64 προσαρτημένες στο τέλος των εικόνων, όπως φαίνεται παρακάτω.
Το αποθετήριο GitHub όπου είναι αποθηκευμένα αυτά τα εικονίδια δείχνει ότι το πρώτο εικονίδιο μεταφορτώθηκε στις 7 Δεκεμβρίου 2022.
Για να ξεκινήσει το τελικό στάδιο της κακόβουλης δραστηριότητας, το αρχικό κακόβουλο λογισμικό χρησιμοποιεί συμβολοσειρές Base64 για να κατεβάσει ένα ωφέλιμο φορτίο κλοπής πληροφοριών ως DLL. Πρόκειται για μια ακόμη άγνωστη απειλή που έχει μεταφορτωθεί στη μολυσμένη συσκευή σας.
Αυτό το malware είναι σε θέση να αποσπάσει πληροφορίες συστήματος, κλέβοντας δεδομένα και αποθηκευμένα στοιχεία σύνδεσης από τα προφίλ του προγράμματος περιήγησης ιστού των χρηστών των Chrome, Edge, Brave και Firefox.
Επισημάνθηκε ως κακόβουλο από λογισμικό ασφαλείας
Σύμφωνα με την CrowdStrike, μια τροποποιημένη έκδοση του desktop client της 3CX έχει ρυθμιστεί έτσι ώστε να εγκαθιστά σύνδεση με έναν από τους ελεγχόμενους από τον επιτιθέμενο domain που περιγράφονται παρακάτω:
Μερικά από τα domain που αναφέρονται από πελάτες στους οποίους προσπάθησε να συνδεθεί ο desktop client περιλαμβάνουν τα azureonlinestorage[.]com, msstorageboxes[.]com και msstorageazure[.]com.
Όταν το BleepingComputer δοκίμασε μια υποτιθέμενη κακόβουλη έκδοση του λογισμικού, δεν παρατηρήθηκαν συνδέσεις με εξωτερικά domains.
Ωστόσο, πολλοί πελάτες στα φόρουμ του 3CX δήλωσαν ότι λάμβαναν ειδοποιήσεις πριν από μία εβδομάδα, στις 22 Μαρτίου, λέγοντας ότι η εφαρμογή πελάτη VoIP επισημάνθηκε ως κακόβουλη από το λογισμικό ασφαλείας SentinelOne, CrowdStrike, ESET, Palo Alto Networks και SonicWall.
Οι πελάτες αναφέρουν ότι οι ειδοποιήσεις ασφαλείας ενεργοποιούνται μετά την εγκατάσταση των εκδόσεων 3CXDesktopApp 18.12.407 και 18.12.416 των Windows ή της 18.11.1213 και της πιο πρόσφατης έκδοσης σε Mac.
Ένα από τα trojanized δείγματα υπολογιστών τηλεφώνων 3CX που κοινοποιήθηκαν από την CrowdStrike υπογράφηκε ψηφιακά πριν από τρεις εβδομάδες, στις 3 Μαρτίου 2023, με ένα νόμιμο πιστοποιητικό 3CX Ltd που εκδόθηκε από την DigiCert.
Το BleepingComputer επιβεβαίωσε ότι αυτό το ίδιο πιστοποιητικό χρησιμοποιήθηκε σε παλαιότερες εκδόσεις του λογισμικού 3CX.
Η SentinelOne εντοπίζει “penetration framework ή shellcode” κατά την ανάλυση του binary 3CXDesktopApp.exe, η ESET το επισημαίνει ως trojan “Win64/Agent.CFM”, το Sophos ως “Troj/Loader-AF” και η διαχειριζόμενη υπηρεσία Falcon OverWatch της CrowdStrike προειδοποιεί τους χρήστες να διερευνήσουν τα συστήματά τους για κακόβουλη δραστηριότητα «επειγόντως».
Παρόλο που τα μέλη της ομάδας υποστήριξης του 3CX το επισήμαναν ως πιθανό SentinelOne false positive σε ένα από τα θέματα του φόρουμ που γεμίζουν με αναφορές πελατών την Τετάρτη, η εταιρεία δεν έχει ακόμη αναγνωρίσει τα ζητήματα δημόσια.
Πηγή πληροφοριών: bleepingcomputer.com