Un attacco alla catena di approvvigionamento in corso che ha violato 3CX presumibilmente utilizza una variante con firma digitale e trojan del client desktop 3CX Voice Over Internet Protocol (VOIP) per prendere di mira i clienti dell’azienda.
Il centralino telefonico 3CX è utilizzato da più di 600.000 aziende in tutto il mondo e ha oltre 12 milioni di utenti giornalieri. 3CX è una società di sviluppo software IPBX VoIP.
Tra i clienti dell’azienda (che ha pubblicato un avviso di giovedì).
I ricercatori di sicurezza di Sophos e CrowdStrike hanno riferito che gli aggressori stanno indirizzando i loro attacchi agli utenti del software per softphone 3CX che eseguono Windows e macOS.
“L’attività dannosa include il beaconing all’infrastruttura controllata dagli attori, l’implementazione di payload di seconda fase e, in un piccolo numero di casi, l’attività pratica sulla tastiera”, ha affermato il team di informazioni sulle minacce di CrowdStrike.
“L’attività post-exploitation più comune osservata fino ad oggi è la generazione di una shell di comando interattiva”, avverte anche il servizio Managed Detection and Response di Sophos.
Sebbene gli esperti di Sophos affermino di “non poter convalidare questa attribuzione con grande sicurezza”, CrowdStrike ritiene che l’attacco sia stato effettuato dall’organizzazione di hacking Labyrinth Collima, che è supportata dal governo nordcoreano. L’affermazione di CrowdStrike preoccupa molti utenti 3CX sebbene non sia stata ancora confermata. Ultimamente, notizie di hacking così preoccupanti hanno visto una scintilla: Linus Tech Tips hackerato su YouTube
È noto che il comportamento di Labyrinth Collima si sovrappone a quello di altri attori delle minacce, come Lazarus Group di Kaspersky, Covellite di Dragos, UNC4034 di Mandiant, Zinc di Microsoft e Nickel Academy di Secureworks.
In che modo 3CX è stato violato in un attacco alla catena di approvvigionamento?
Nei rapporti rilasciati lo scorso giovedì sera, SentinelOne e Sophos hanno anche rivelato che il programma desktop 3CX sottoposto a trojan viene scaricato come parte di un attacco alla catena di approvvigionamento.
SentinelOne ha chiamato questo attacco alla catena di approvvigionamento “SmoothOperator”. Inizia quando il programma di installazione MSI viene scaricato dal sito Web 3CX o viene rilasciato un aggiornamento a un’applicazione desktop che è già stata configurata.
I file DLL dannosi ffmpeg.dll [VirusTotal] e d3dcompiler 47.dll [VirusTotal] vengono estratti quando viene installato l’MSI o l’aggiornamento e vengono utilizzati per eseguire la fase successiva dell’attacco.
Anche se la dannosa DLL ffmpeg.dll verrà trasferita lateralmente e utilizzata per estrarre e decrittografare un payload crittografato da d3dcompiler 47.dll, Sophos afferma che l’eseguibile 3CXDesktopApp.exe non è dannoso.
Per scaricare i file di icone archiviati su GitHub che includono testo codificato Base64 aggiunto alla fine delle immagini, verrà eseguito questo shellcode crittografato da d3dcompiler 47.dll.
Queste icone sono conservate in un repository GitHub, il che indica che la prima icona è stata pubblicata il 7 dicembre 2022.
Secondo SentinelOne, il malware utilizza queste stringhe Base64 per scaricare un payload finale, una DLL sconosciuta, che ruba informazioni dai dispositivi infetti.
I profili utente per Chrome, Edge, Brave e Firefox possono contenere dati e credenziali che questo nuovo malware è in grado di rubare, nonché informazioni di sistema.
“In questo momento, non possiamo confermare che il programma di installazione per Mac sia simile a un trojan. La nostra indagine in corso include applicazioni aggiuntive come l’estensione di Chrome che potrebbero anche essere utilizzate per mettere in scena attacchi”, ha affermato SentinelOne
Nel frattempo, il CEO di 3CX Nick Galea ha dichiarato in un post sul forum giovedì mattina che il malware era stato inserito nel programma 3CX Desktop. Galea consiglia a tutti gli utenti di disinstallare l’applicazione desktop e passare di conseguenza al client PWA.
“Come molti di voi hanno notato, la 3CX DesktopApp contiene un malware. Colpisce il client Windows Electron per i clienti che eseguono l’aggiornamento 7. Ci è stato segnalato ieri sera e stiamo lavorando a un aggiornamento per DesktopApp che rilasceremo nelle prossime ore ” Galea ha condiviso nei forum 3CX.
Source: 3CX violato in un attacco alla catena di fornitura che compromette 12 milioni di utenti