Zephyrnet Logo

Inteligência de dados generativa

Cíber segurança

Atualizações automáticas oferecem 'atualizações' maliciosas do 3CX para empresas

Republicado por Platão
Republicado por Platão

Data:

Visualizações: 229

Os pesquisadores de segurança estão soando o alarme sobre o que pode muito bem ser outro grande ataque à cadeia de suprimentos do tipo SolarWinds ou Kaseya, desta vez envolvendo versões para Windows e Mac de um aplicativo amplamente utilizado de videoconferência, PBX e comunicação empresarial da 3CX.

Em 30 de março, vários fornecedores de segurança disseram ter observado versões legítimas e assinadas digitalmente do 3CX DesktopApp junto com instaladores maliciosos chegando aos desktops dos usuários por meio do processo de atualização automática oficial da empresa, bem como por meio de atualizações manuais. O resultado final é um malware de roubo de dados sendo implantado como parte de um provável esforço de ciberespionagem por um ator de ameaça persistente avançada (APT).

O impacto potencial da nova ameaça pode ser enorme. A 3CX reivindica cerca de 600,000 instalações em todo o mundo, com mais de 12 milhões de usuários diários. Entre seus inúmeros clientes de renome estão empresas como American Express, Avis, Coca Cola, Honda, McDonald's, Pepsi e Toyota.

CrowdStrike avaliado que o agente da ameaça por trás da campanha é Labyrinth Chollima, um grupo que muitos pesquisadores acreditam estar ligado à unidade de guerra cibernética da agência de inteligência da Coreia do Norte, o Reconnaissance General Bureau (RGB). Labirinto Chollima é um dos quatro grupos que a CrowdStrike avaliou fazem parte do maior Lazarus Group da Coreia do Norte.

A ameaça ainda é muito ativa. “Atualmente, os instaladores e atualizações mais recentes disponíveis no site público da 3CX ainda são os aplicativos comprometidos e com backdoor que são considerados ruins por várias empresas de segurança”, diz John Hammond, pesquisador sênior de segurança da Huntress.

Aplicativo empresarial Trojanizado com instaladores maliciosos

O aplicativo armado chega a um sistema host quando o aplicativo de desktop 3CX é atualizado automaticamente ou quando um usuário obtém a versão mais recente de forma proativa. Uma vez enviado para um sistema, o 3CX DesktopApp assinado executa um instalador malicioso, que então direciona para um servidor controlado pelo invasor, baixa um malware de segundo estágio que rouba informações e o instala no computador do usuário. A CrowdStrike, uma das primeiras a relatar a ameaça em 29 de março, disse em alguns casos que também observou atividades maliciosas de teclado em sistemas com o aplicativo Trojanized 3CX.

Em uma mensagem no início de 30 de março, o CEO da 3CX, Nick Galea, pediu aos usuários que desinstale imediatamente o aplicativo, acrescentando que o Microsoft Windows Defender faria isso automaticamente para os usuários que executam o software. A Galea pediu aos clientes que desejam a funcionalidade do aplicativo que usem a versão de cliente da Web da tecnologia enquanto a empresa trabalha na entrega de uma atualização.

A alerta de segurança do 3CX CISO Pierre Jourdan identificou os aplicativos afetados como Electron Windows App, enviado na Atualização 7, números de versão 18.12.407 e 18.12.416 e Electron Mac App números 18.11.1213, 18.12.402, 18.12.407 e 18.12.416 . “O problema parece ser uma das bibliotecas agrupadas que compilamos no Windows Electron App via GIT”, disse Jourdan.

Os invasores provavelmente violaram o ambiente de produção do 3CX

Nem as mensagens de Jourdan nem de Galea deram qualquer indicação de como o invasor conseguiu obter o acesso necessário para trojanizar um binário 3CXDekstopApp.exe assinado. Mas pelo menos dois fornecedores de segurança que analisaram a ameaça dizem que ela só poderia ter acontecido se os invasores estivessem no ambiente de desenvolvimento ou construção do 3CX - da mesma maneira que o SolarWinds foi comprometido.

“Embora apenas a 3CX tenha uma visão completa do que aconteceu, até agora, a partir da perícia, avaliamos com alta confiança que o agente da ameaça teve acesso ao pipeline de produção da 3CX”, diz Lotem Finkelstein, diretor de inteligência e pesquisa de ameaças da Check Software Ponto. “Os arquivos são assinados com certificados 3CX, os mesmos usados ​​para as versões benignas anteriores. O código é construído de forma a continuar funcionando normalmente, mas também adiciona algum malware.”

Finkelstein diz Investigação da Check Point confirma que a versão trojanizada do 3CX DesktopApp está sendo entregue por meio de download manual ou atualizações regulares do sistema oficial.

Dick O'Brien, principal analista inteligente da equipe Symantec Threat Hunter, diz que o agente da ameaça não parece ter tocou o próprio executável principal. Em vez disso, o APT comprometeu duas bibliotecas de vínculo dinâmico (DLLs) que foram entregues junto com o executável no instalador. 

“Uma DLL foi substituída por um arquivo completamente diferente com o mesmo nome”, diz O'Brien. “A segunda era uma versão Trojanizada da DLL legítima [com] os invasores essencialmente anexando-a com dados criptografados adicionais”. Os invasores usaram uma técnica, conhecida como carregamento lateral de DLL, para enganar o binário 3CX legítimo para carregar e executar a DLL maliciosa, diz ele.

O'Brien concorda que o invasor precisaria de acesso ao ambiente de produção da 3CX para realizar o hack. “Como eles fizeram isso permanece desconhecido. Mas uma vez que eles tivessem acesso ao ambiente de construção, tudo o que precisavam fazer era colocar duas DLLs no diretório de construção.”

Impacto Potencialmente Amplo

Pesquisadores da Huntress rastreando a ameaça disseram que até agora enviaram um total de 2,595 relatórios de incidentes para clientes alertando-os sobre hosts executando versões suscetíveis do aplicativo de desktop 3CX. Nesses casos, o software correspondeu ao hash ou identificador de um dos aplicativos ruins conhecidos. 

“O estágio final da cadeia de ataque, como a conhecemos, é alcançar os servidores de comando e controle, no entanto, isso parece estar em um cronômetro definido após sete dias”, diz Hammond, da Huntress. Uma pesquisa Shodan realizada pela Huntress mostrou 242,519 sistemas 3CX expostos publicamente, embora o impacto do problema seja mais amplo do que apenas esse conjunto de alvos.

“As atualizações recebidas pelo aplicativo de desktop 3CX assinado vêm da fonte de atualização legítima do 3CX, portanto, à primeira vista, isso parece normal”, acrescenta. “Muitos usuários finais não esperavam que o aplicativo 3CX original e válido de repente disparasse alarmes de seus antivírus ou produtos de segurança, e na linha do tempo inicial, onde não havia muita informação descoberta, e havia alguma confusão sobre se a atividade era malicioso ou não, diz ele.

Tons de SolarWinds & Kaseya

Hammond compara este incidente ao violações na SolarWinds e em Kaseya. 

Com a SolarWinds, os invasores – provavelmente vinculados ao Serviço de Inteligência Estrangeira da Rússia – invadiram o ambiente de construção da empresa e inseriram algumas linhas de código malicioso nas atualizações de seu software de gerenciamento de rede Orion. Cerca de 18,000 clientes receberam as atualizações, mas o agente da ameaça estava realmente mirando apenas um pequeno punhado deles para comprometimento subsequente. 

A ataque ao VSA da Kaseya a tecnologia de gerenciamento remoto resultou em mais de 1,000 clientes downstream de seus clientes provedores de serviços gerenciados sendo afetados e posteriormente direcionados para a entrega de ransomware. Os dois ataques são exemplos de uma tendência crescente de agentes de ameaças visando provedores de software confiáveis ​​e entidades no cadeia de suprimentos de software atingir um amplo conjunto de vítimas. Preocupações com a ameaça levaram o presidente Biden a emitir uma ordem executiva em maio de 2021 que continha requisitos específicos para reforçar a segurança da cadeia de suprimentos.

local_img

Inteligência mais recente

local_img

Direitos autorais @ 2024 Plato Technologies Inc.