Исследователи безопасности бьют тревогу по поводу того, что вполне может быть еще одной крупной атакой цепочки поставок, подобной SolarWinds или Kaseya, на этот раз с участием Windows и Mac-версий широко используемого приложения для видеоконференций, АТС и делового общения от 3CX.
30 марта несколько поставщиков систем безопасности заявили, что они наблюдали законные версии 3CX DesktopApp с цифровой подписью в комплекте с вредоносными установщиками, загружаемыми на рабочие столы пользователей с помощью официального процесса автоматического обновления компании, а также с помощью обновлений вручную. Конечным результатом является внедрение вредоносного ПО для кражи данных в рамках возможного кибершпионажа со стороны продвинутой постоянной угрозы (APT).
Потенциальное воздействие новой угрозы может быть огромным. 3CX заявляет о 600,000 12 установок по всему миру с более чем XNUMX миллионами пользователей в день. Среди его многочисленных известных клиентов такие компании, как American Express, Avis, Coca Cola, Honda, McDonald's, Pepsi и Toyota.
Оценка CrowdStrike что субъектом угрозы, стоящим за этой кампанией, является Labyrinth Chollima, группа, которая, по мнению многих исследователей, связана с подразделением кибервойны разведывательного управления Северной Кореи, Генеральным бюро разведки (RGB). Лабиринт Чоллима является одной из четырех групп которые, по оценке CrowdStrike, являются частью более крупной северокорейской группы Lazarus.
Угроза по-прежнему очень активна. «В настоящее время самые последние установщики и обновления, доступные на общедоступном веб-сайте 3CX, по-прежнему являются скомпрометированными и бэкдорными приложениями, которые отмечены многими фирмами, занимающимися безопасностью, как известные как вредоносные», — говорит Джон Хаммонд, старший исследователь безопасности в Huntress.
Корпоративное приложение заражено вредоносными установщиками
Боевое приложение появляется на хост-системе, когда настольное приложение 3CX автоматически обновляется, или когда пользователь активно получает последнюю версию. После загрузки в систему подписанное приложение 3CX DesktopApp запускает вредоносный установщик, который затем передает сигнал на контролируемый злоумышленниками сервер, извлекает оттуда вредоносное ПО второй стадии, похищающее информацию, и устанавливает его на компьютер пользователя. CrowdStrike, одна из первых, кто сообщил об угрозе 29 марта, заявила, что в нескольких случаях она также наблюдала вредоносную активность рук на клавиатуре в системах с троянизированным приложением 3CX.
В сообщении от 30 марта генеральный директор 3CX Ник Галеа призвал пользователей немедленно удалить приложение, добавив, что Защитник Microsoft Windows будет делать это автоматически для пользователей, использующих программное обеспечение. Галеа призвал клиентов, которым нужны функциональные возможности приложения, использовать версию технологии веб-клиента, пока компания работает над выпуском обновления.
A предупреждение системы безопасности из 3CX CISO Пьер Журдан идентифицировал затронутые приложения как приложение Electron для Windows, поставляемое в обновлении 7, номера версий 18.12.407 и 18.12.416, и приложения Electron для Mac с номерами версий 18.11.1213, 18.12.402, 18.12.407 и 18.12.416. . «Похоже, проблема связана с одной из связанных библиотек, которые мы скомпилировали в приложение Windows Electron через GIT», — сказал Журдан.
Злоумышленники, вероятно, взломали производственную среду 3CX
Ни Журдан, ни Галеа не сообщали о том, как злоумышленнику удалось получить доступ, необходимый для троянизации подписанного бинарного файла 3CXDekstopApp.exe. Но по крайней мере два поставщика средств безопасности, которые проанализировали угрозу, говорят, что это могло произойти только в том случае, если злоумышленники находились в среде разработки или сборки 3CX — так же, как была скомпрометирована SolarWinds.
«Хотя только у 3CX есть полная картина того, что произошло, на основании криминалистической экспертизы, мы с высокой уверенностью оцениваем, что злоумышленник имел доступ к производственному конвейеру 3CX», — говорит Лотем Финкельштейн, директор по анализу угроз и исследованиям в Check. Программное обеспечение Point. «Файлы подписаны сертификатами 3CX, такими же, как и в предыдущих безопасных версиях. Код построен таким образом, что он продолжает работать как обычно, но также добавляет вредоносное ПО».
Финкельштейн говорит Расследование Check Point подтверждает, что троянская версия 3CX DesktopApp доставляется либо вручную, либо через регулярные обновления из официальной системы.
Дик О'Брайен, главный интеллектуальный аналитик команды Symantec Threat Hunter, говорит, что злоумышленник, похоже, не коснулся самого основного исполняемого файла. Вместо этого APT скомпрометировала две библиотеки динамической компоновки (DLL), которые были доставлены вместе с исполняемым файлом в программе установки.
«Одна библиотека DLL была заменена совершенно другим файлом с тем же именем, — говорит О'Брайен. «Второй была троянизированная версия легитимной DLL, [с] которой злоумышленники по существу добавили к ней дополнительные зашифрованные данные». По его словам, злоумышленники использовали технику, известную как неопубликованная загрузка DLL, чтобы обмануть законный двоичный файл 3CX для загрузки и выполнения вредоносной DLL.
О'Брайен соглашается, что злоумышленнику понадобился бы доступ к производственной среде 3CX, чтобы осуществить взлом. «Как они это сделали, пока неизвестно. Но как только они получили доступ к среде сборки, все, что им нужно было сделать, это поместить две библиотеки DLL в каталог сборки».
Потенциально широкое воздействие
Исследователи из Huntress отслеживание угрозы заявили, что на данный момент они отправили клиентам в общей сложности 2,595 отчетов об инцидентах, предупреждающих их о хостах, на которых запущены уязвимые версии настольного приложения 3CX. В этих случаях программное обеспечение совпадало с хэшем или идентификатором одного из известных вредоносных приложений.
«Заключительный этап цепочки атак, какой мы ее знаем, — это обращение к серверам управления и контроля, однако это, похоже, происходит по установленному таймеру через семь дней», — говорит Хаммонд из Huntress. Поиск Shodan, проведенный Huntress, показал 242,519 3 общедоступных систем XNUMXCX, хотя влияние проблемы шире, чем просто этот набор целей.
«Обновления, полученные подписанным настольным приложением 3CX, поступают из законного источника обновлений 3CX, так что на первый взгляд это выглядит нормально», — добавляет он. «Многие конечные пользователи не ожидали, что оригинальное и действительное приложение 3CX вдруг станет сигналом тревоги для их антивирусных продуктов или продуктов безопасности, и на раннем этапе, когда было не так много раскрытой информации, и была некоторая путаница в отношении того, была ли активность злонамеренный или нет, говорит он.
Оттенки SolarWinds и Касея
Хаммонд сравнивает этот инцидент с нарушения в SolarWinds и в Касее.
С помощью SolarWinds злоумышленники — вероятно, связанные с российской службой внешней разведки — проникли в среду сборки компании и вставили несколько строк вредоносного кода в обновления программного обеспечения для управления сетью Orion. Обновления получили около 18,000 XNUMX клиентов, но на самом деле злоумышленник нацелился лишь на небольшую часть из них для последующей компрометации.
Ассоциация атака на VSA Касеи Технология удаленного управления привела к тому, что более 1,000 нижестоящих клиентов ее клиентов-поставщиков управляемых услуг были затронуты и впоследствии стали мишенью для доставки программ-вымогателей. Эти две атаки являются примерами растущей тенденции злоумышленников, нацеленных на доверенных поставщиков программного обеспечения и организации в сети. цепочка поставок программного обеспечения для охвата широкого круга жертв. Обеспокоенность по поводу угрозы побудила президента Байдена издавать распоряжение в мае 2021 года, в котором содержались конкретные требования по укреплению безопасности цепочки поставок.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/endpoint/automatic-officlal-updates-malicious-3cx-enterprises
