Tietoturvatutkijat hälyttävät, mikä saattaa hyvinkin olla toinen suuri SolarWinds- tai Kaseya-tyyppinen toimitusketjuhyökkäys, joka tällä kertaa koskee Windows- ja Mac-versioita laajalti käytetystä videoneuvottelu-, PBX- ja yritysviestintäsovelluksesta 3CX:ltä.

Maaliskuun 30. päivänä useat tietoturvatoimittajat sanoivat havainneensa 3CX DesktopApp -sovelluksen laillisia, digitaalisesti allekirjoitettuja versioita, jotka on niputettu haitallisiin asennusohjelmiin, jotka laskeutuvat käyttäjien työasemille yrityksen virallisen automaattisen päivitysprosessin sekä manuaalisten päivitysten kautta. Lopputuloksena on, että edistyneen jatkuvan uhkan (APT) toimija istuttaa tietoja varastavan haittaohjelman osana todennäköistä kybervakoilua.

Uuden uhan mahdollinen vaikutus voi olla valtava. 3CX vaatii noin 600,000 12 asennusta maailmanlaajuisesti ja yli XNUMX miljoonaa päivittäistä käyttäjää. Sen lukuisten suurten asiakkaiden joukossa ovat yritykset, kuten American Express, Avis, Coca Cola, Honda, McDonald's, Pepsi ja Toyota.

CrowdStrike arvioitu että kampanjan takana oleva uhkatekijä on Labyrinth Chollima, ryhmä, jonka monet tutkijat uskovat liittyvän Pohjois-Korean tiedusteluviraston Reconnaissance General Bureaun (RGB) kybersodankäyntiyksikköön. Labyrintti Chollima on yksi neljästä ryhmästä jotka CrowdStrike on arvioinut olevan osa Pohjois-Korean suurempaa Lazarus-ryhmää.

Uhka on edelleen hyvin aktiivinen. "Tällä hetkellä uusimmat asennusohjelmat ja päivitykset, jotka ovat saatavilla julkisella 3CX-verkkosivustolla, ovat edelleen vaarantuneita ja takaovisia sovelluksia, jotka useat tietoturvayritykset ovat pitäneet huonoina", sanoo John Hammond, Huntressin vanhempi tietoturvatutkija.

Yrityssovellus on troijalainen haitallisilla asentajilla

Aseistettu sovellus saapuu isäntäjärjestelmään, kun 3CX Desktop Application päivittyy automaattisesti tai kun käyttäjä nappaa uusimman version ennakoivasti. Kun allekirjoitettu 3CX DesktopApp on työnnetty järjestelmään, se suorittaa haitallisen asennusohjelman, joka lähettää sitten majakan hyökkääjän ohjaamaan palvelimeen, poistaa sieltä toisen vaiheen tietoja varastavan haittaohjelman ja asentaa sen käyttäjän tietokoneelle. CrowdStrike, yksi ensimmäisistä, jotka raportoivat uhasta 29. maaliskuuta, kertoi joissakin tapauksissa havainneensa myös haitallista käytännön näppäimistötoimintaa järjestelmissä, joissa on Trojanized 3CX -sovellus.

30CX:n toimitusjohtaja Nick Galea kehotti käyttäjiä 3. maaliskuuta viestissään poista asennus välittömästi sovellus ja lisäsi, että Microsoft Windows Defender tekisi sen automaattisesti käyttäjille, jotka käyttävät ohjelmistoa. Galea kehotti asiakkaita, jotka haluavat sovelluksen toiminnallisuuden, käyttämään tekniikan verkkoasiakasversiota, kun yritys työskentelee päivityksen toimittamisessa.

A turvallisuushälytys 3CX CISO:lta Pierre Jourdan tunnisti ongelmalliset sovellukset Electron Windows Appiksi, joka toimitettiin päivityksessä 7, versionumerot 18.12.407 ja 18.12.416 sekä Electron Mac App -sovelluksen versionumerot 18.11.1213, 18.12.402, 18.12.407, 18.12.416. . "Ongelma näyttää olevan yksi niputetuista kirjastoista, jotka olemme koonneet Windows Electron -sovellukseen GIT:n kautta", Jourdan sanoi.

Hyökkääjät ovat todennäköisesti rikkoneet 3CX:n tuotantoympäristöä

Jourdanin tai Galean viestit eivät antaneet mitään viitteitä siitä, kuinka hyökkääjä onnistui saamaan pääsyn, jota he tarvitsivat allekirjoitetun 3CXDekstopApp.exe-binaarin troijan tekemiseen. Mutta ainakin kaksi tietoturvatoimittajaa, jotka ovat analysoineet uhan, sanovat, että se olisi voinut tapahtua vain, jos hyökkääjät olisivat olleet 3CX:n kehitys- tai rakennusympäristössä - samalla tavalla kuin SolarWinds vaarantui.

"Vaikka vain 3CX:llä on täydellinen kuva tapahtuneesta, arvioimme toistaiseksi rikosteknisten tietojen perusteella, että uhkatekijällä oli pääsy 3CX:n tuotantoputkeen", sanoo Checkin uhkien tiedustelu- ja tutkimusjohtaja Lotem Finkelstein. Point-ohjelmisto. "Tiedostot on allekirjoitettu 3CX-varmenteilla, samoin kuin aikaisemmissa hyvänlaatuisissa versioissa. Koodi on rakennettu siten, että se toimii normaalisti, mutta lisää myös haittaohjelmia."

Finkelstein sanoo Check Pointin tutkinta vahvistaa, että 3CX DesktopApp -sovelluksen troijalainen versio toimitetaan joko manuaalisen latauksen tai säännöllisten päivitysten kautta virallisesta järjestelmästä.

Dick O'Brien, Symantec Threat Hunter -tiimin älykäs analyytikko, sanoo, että uhkanäyttelijällä ei näytä olevan kosketti itse pääsuoritustiedostoa. Sen sijaan APT vaaransi kaksi dynaamista linkkikirjastoa (DLL), jotka toimitettiin asennusohjelman suoritettavan tiedoston mukana. 

"Yksi DLL korvattiin täysin eri tiedostolla, jolla on sama nimi", O'Brien sanoo. "Toinen oli laillisen DLL:n troijalainen versio [johon] hyökkääjät lisäsivät siihen ylimääräisiä salattuja tietoja." Hyökkääjät ovat käyttäneet tekniikkaa, joka tunnetaan nimellä DLL sideloading, huijatakseen laillisen 3CX-binaarin lataamaan ja suorittamaan haitallisen DLL:n, hän sanoo.

O'Brien on samaa mieltä siitä, että hyökkääjä olisi tarvinnut pääsyn 3CX:n tuotantoympäristöön murtaakseen hakkeroinnin. "Miten he sen tekivät, on tuntematon. Mutta kun heillä oli pääsy rakennusympäristöön, heidän täytyi pudottaa kaksi DLL-tiedostoa rakennushakemistoon."

Mahdollisesti laaja vaikutus

Huntressin tutkijat uhan jäljittämistä kertoivat lähettäneensä tähän mennessä yhteensä 2,595 3 tapausraporttia asiakkaille varoittaen heitä isännistä, jotka käyttävät XNUMXCX-työpöytäsovelluksen herkkiä versioita. Näissä tapauksissa ohjelmisto täsmäsi yhden tunnetun huonon sovelluksen tiivisteen tai tunnisteen. 

"Hyökkäysketjun viimeinen vaihe, sellaisena kuin sen tiedämme, on yhteydenpito komento- ja ohjauspalvelimiin, mutta tämä näyttää olevan asetettu ajastimeen seitsemän päivän jälkeen", sanoo Huntress' Hammond. Huntressin suorittama Shodan-haku osoitti 242,519 3 julkisesti esillä olevaa XNUMXCX-järjestelmää, vaikka ongelman vaikutus on laajempi kuin pelkkä tavoitejoukko.

"Allekirjoitetun 3CX-työpöytäsovelluksen vastaanottamat päivitykset tulevat laillisesta 3CX-päivityslähteestä, joten ensi silmäyksellä tämä näyttää normaalilta", hän lisää. "Monet loppukäyttäjät eivät odottaneet alkuperäisen ja kelvollisen 3CX-sovelluksen yhtäkkiä soittavan hälytyskelloja heidän virustorjunta- tai tietoturvatuotteistaan ​​ja varhaisessa aikajanassa, jolloin paljastui vähän tietoa ja oli hämmennystä siitä, oliko toiminta ilkeä tai ei, hän sanoo.

Shades of SolarWinds & Kaseya

Hammond vertaa tätä tapausta rikkomuksista SolarWindsissä ja Kaseyassa. 

SolarWindsin avulla hyökkääjät – jotka todennäköisesti liittyvät Venäjän Foreign Intelligence Serviceen – murtautuivat yrityksen rakennusympäristöön ja lisäsivät muutaman rivin haitallista koodia sen Orion-verkonhallintaohjelmiston päivityksiin. Noin 18,000 XNUMX asiakasta sai päivitykset, mutta uhkatoimija oli todella kohdistanut heistä vain pienen kourallisen myöhempään kompromissiin. 

- hyökkäys Kaseyan VSA:ta vastaan etähallintatekniikka johti siihen, että yli 1,000 XNUMX sen hallinnoitujen palveluntarjoajien asiakasta saivat vaikutuksen, ja he joutuivat myöhemmin ransomware-toimituksen kohteeksi. Nämä kaksi hyökkäystä ovat esimerkkejä kasvavasta trendistä uhkatoimijoille, jotka kohdistuvat luotettaviin ohjelmistotoimittajiin ja yhteisöihin. ohjelmistojen toimitusketju tavoittaa laaja joukko uhreja. Huoli uhkauksesta sai presidentti Bidenin siihen antaa toimeenpanomääräys toukokuussa 2021, joka sisälsi erityisiä vaatimuksia toimitusketjun turvallisuuden vahvistamiseksi.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://www.darkreading.com/endpoint/automatic-officlal-updates-malicious-3cx-enterprises