據(jù)報道，3CX 互聯(lián)網(wǎng)協(xié)議語音 (VOIP) 桌面客戶端的數(shù)字簽名和木馬化版本被用于在持續(xù)的供應鏈攻擊中針對公司的客戶。

3CX 是一家 VoIP IPBX 軟件開發(fā)公司，其 3CX Phone System 被全球超過 60萬家公司使用，每日用戶超過 1200 萬。

該公司的客戶名單包括一長串備受矚目的公司和組織，例如美國運通、可口可樂、麥當勞、寶馬、本田、AirFrance、NHS、豐田、梅賽德斯-奔馳、宜家和 HollidayInn。

根據(jù)來自 Sophos 和 CrowdStrike 的安全研究人員的警報，攻擊者的目標是受感染的 3CX 軟電話應用程序的 Windows 和 macOS 用戶。

CrowdStrike 的威脅情報團隊表示：“惡意活動包括向行為者控制的基礎設施發(fā)送信標、部署第二階段有效載荷，以及在少數(shù)情況下的手動鍵盤活動?！?/p>

“迄今為止觀察到的最常見的后開發(fā)活動是交互式命令外殼的產(chǎn)生，”Sophos 在通過其托管檢測和響應服務發(fā)布的公告中補充道。

雖然 CrowdStrike 懷疑它追蹤的一個朝鮮國家支持的黑客組織作為Labyrinth Collima是這次攻擊的幕后黑手，但 Sophos 的研究人員表示他們無法高度自信地驗證這一歸因。

眾所周知，Labyrinth Collima 活動與卡巴斯基追蹤的 Lazarus Group、Dragos 追蹤的 Covellite、Mandiant 追蹤的 UNC4034、微軟追蹤的 Zinc 和 Secureworks 追蹤的 Nickel Academy 等其他威脅行為者重疊。

當涉及到對手的命名約定時，CrowdStrike 有一個深入的分析過程。

LABYRINTH CHOLLIMA?是被描述為 Lazarus Group 的子集，其中包括其他與朝鮮有聯(lián)系的對手，包括?SILENT CHOLLIMA?和?STARDUST CHOLLIMA。”

SmoothOperator軟件供應鏈攻擊

SentinelOne 和 Sophos 在周四晚間發(fā)布的報告中還透露，木馬化的 3CX 桌面應用程序正在供應鏈攻擊中被下載。

這種供應鏈攻擊被 SentinelOne 稱為“SmoothOperator”，當從 3CX 的網(wǎng)站下載 MSI 安裝程序或?qū)⒏峦扑偷揭寻惭b的桌面應用程序時就會開始。

安裝惡意文件的更新進程

當安裝MSI 或更新時，它會提取惡意的ffmpeg.dll[VirusTotal]和 d3dcompiler_47.dll [?VirusTotal?] DLL 文件，用于執(zhí)行下一階段的攻擊。

雖然Sophos聲明3CXDesktopApp.exe 可執(zhí)行文件不是惡意的，但惡意的 ffmpeg.dll DLL 將被旁加載并用于從 d3dcompiler_47.dll 中提取和解密加密的有效負載。

這個來自 d3dcompiler_47.dll 的解密 shellcode 將被執(zhí)行以下載托管在 GitHub 上的圖標文件，這些圖標文件包含附加到圖像末尾的 Base64 編碼字符串，如下所示。

ICO 文件中嵌入的 Base64 字符串

存儲這些圖標的GitHub 存儲庫顯示?，第一個圖標是在 2022 年 12 月 7 日上傳的。

SentinelOne 表示，惡意軟件使用這些 Base64 字符串將最終有效載荷下載到受感染的設備，這是一種以前未知的信息竊取惡意軟件，下載為 DLL。

這種新的惡意軟件能夠從 Chrome、Edge、Brave 和 Firefox 用戶配置文件中收集系統(tǒng)信息并竊取數(shù)據(jù)和存儲的憑據(jù)。

目前，我們無法確認 Mac 安裝程序是否同樣被木馬化。我們正在進行的調(diào)查包括其他應用程序，如 Chrome 擴展程序，它們也可能被用來發(fā)動攻擊。

威脅行為者早在 2022 年 2 月就已經(jīng)注冊了一套龐大的基礎設施，但我們還沒有看到與現(xiàn)有威脅集群的明顯聯(lián)系。

SmoothOperator 供應鏈攻擊中的目標數(shù)據(jù)

被安全軟件標記為惡意

3CX 桌面客戶端的木馬化版本將連接到以下攻擊者控制的域之一：

客戶提到的桌面客戶端嘗試連接的一些域包括?

azureonlinestorage[.]com

msstorageboxes[.]com?

msstorageazure[.]com

測試了該軟件的一個疑似木馬化版本，但無法觸發(fā)與這些域的任何連接。

然而，3CX 論壇中的多個客戶表示，他們從一周前的3 月 22 日開始收到警報，稱 VoIP 客戶端應用程序被SentinelOne\CrowdStrike\ESET\Palo Alto Networks和SonicWall安全軟件標記為惡意。

客戶報告說，在安裝 3CXDesktopApp 18.12.407 和 18.12.416 Windows 版本或在 Mac 上安裝 18.11.1213 和最新版本后會觸發(fā)安全警報。

在隨后的聲明中，3CX 表示 18.11.1213、18.12.402、18.12.407 和 18.12.416 版本的 Mac 客戶端被感染。

CrowdStrike共享的木馬化 3CX 軟電話客戶端樣本之一在三周前，即 2023 年 3 月 3 日，使用 DigiCert 頒發(fā)的合法 3CX Ltd 證書進行了數(shù)字簽名。

證實在舊版本的 3CX 軟件中使用了相同的證書。

簽名的 3CX VoIP 客戶端應用程序

SentinelOne 在分析 3CXDesktopApp.exe 二進制文件時檢測到“滲透框架或 shellcode”，ESET 將其標記為“Win64/Agent.CFM”木馬，Sophos 標記為“Troj/Loader-AF”，CrowdStrike 的 Falcon OverWatch 托管威脅搜尋服務警告用戶“緊急”調(diào)查他們的系統(tǒng)是否存在惡意活動。

盡管 3CX 的支持團隊成員在周三充滿客戶報告的一個論壇帖子中將其標記為潛在的 SentinelOne 誤報，但該公司尚未公開承認這些問題。

3CX?確認軟件已被入侵

3CX 首席執(zhí)行官周四上午在論壇帖子中證實，3CX 桌面應用程序已被入侵，其中包含惡意軟件。因此，他建議所有客戶卸載桌面應用程序并改用?PWA 客戶端?。

你們中的許多人已經(jīng)注意到 3CX DesktopApp 中有惡意軟件。它會影響運行更新 7 的客戶的 Windows Electron 客戶端。昨天晚上我們收到了報告，我們正在對 DesktopApp 進行更新，我們將在接下來的幾個小時，”?在3CX 論壇上分享道。

解決此問題的最佳方法是卸載該應用程序（如果您正在運行 Windows Defender，不幸的是它會自動為您執(zhí)行此操作）然后重新安裝。

我們將在今天晚些時候分析并發(fā)布一份完整的報告。目前我們只關(guān)注更新。

在有關(guān)該事件的博客文章中，3CX CISO 表示其桌面應用程序由于上游庫而受到損害。

這個問題似乎是我們通過 GIT 編譯到 Windows Electron 應用程序中的捆綁庫之一。

我們?nèi)栽谘芯看耸?，以便能夠在今天晚些時候提供更深入的回應。以下是我們迄今為止所做工作的一些信息。

然而，3CX 尚未透露他們所指的庫是什么，以及這是否導致他們的開發(fā)人員環(huán)境受到損害。文章來源地址http://www.zghlxwxcb.cn/news/detail-656140.html

到了這里，關(guān)于黑客在供應鏈攻擊中破壞 3CX 桌面應用程序的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！