3CX, birden fazla güvenlik araştırmacısının şirkette aktif bir tedarik zinciri saldırısı olduğu konusunda uyarmasının ardından, 3CX Masaüstü Uygulaması için bir yazılım güncellemesi üzerinde çalışıyor. Güncelleme önümüzdeki birkaç saat içinde yayınlanacak; bu arada şirket, müşterileri bunun yerine PWA (progresif web uygulaması) istemcisini kullanmaya teşvik ediyor.
“Birçoğunuzun fark ettiği gibi, 3CX DesktopApp içinde bir kötü amaçlı yazılım var. 3CX CEO’su Nick Galea, “Güncelleştirme 7’yi çalıştıran müşteriler için Windows Electron istemcisini etkiliyor” dedi. güvenlik uyarısı Perşembe günü. Anında yanıt olarak şirket, kullanıcılara uygulamayı kaldırıp yeniden yüklemelerini tavsiye etti.
3CX İnternet Üzerinden Ses Protokolü (VoIP) IPBX yazılım geliştirme şirketidir. 3CX DesktopApp, kullanıcıların masaüstlerini kullanarak arama yapmasına, sohbet etmesine, video konferans yapmasına ve sesli postayı kontrol etmesine olanak tanır. Şirketin 190 ülkede 600.000’den fazla müşterisi ve 12 milyon kullanıcısı var. American Express, BMW, Honda, Ikea, Pepsi ve Toyota müşterilerinden bazılarıdır.
Sophos, Crowdstrike ve SentinelOne’daki güvenlik araştırmacıları, devam eden saldırı hakkında şirketi Çarşamba günü uyardı.
Tedarik zinciri saldırıya uğradı
Araştırmacılar, 3CX DesktopApp’ın trojenleştirilmiş bir sürümünden kaynaklanan kötü amaçlı etkinlik gözlemledi. “Yazılım, Windows için yazılım telefonu masaüstü istemcisinin dijital olarak imzalanmış bir sürümüdür ve kötü amaçlı bir yük ile paketlenmiştir.” Sofos blog yazısında söyledi.
Sophos, uygulamanın tehdit aktörü tarafından çeşitli komut ve kontrol sunucularıyla iletişim kuran bir yükleyici eklemek için kötüye kullanıldığını söyledi.
Tehdit aktörü, Şubat 2022’de devasa bir saldırı altyapısı kaydetti. SentinelOne SmoothOperator adı altında saldırıyı izleyen şirket, “ancak henüz mevcut tehdit kümeleriyle bariz bağlantılar görmüyoruz” diye ekliyor.
Araştırmacılar, ilk aşamasında bir simge dosyası yükünü almak için tasarlanmış kötü amaçlı bir DLL yüklemek için DLL yan yükleme tekniğinden yararlanan bir zincirleme saldırı olduğunu söyledi.
SentinelOne, “Truva atına dönüştürülen 3CXDesktopApp, GitHub’dan base64 verileriyle eklenen ICO dosyalarını çeken ve en sonunda, yazı yazıldığı sırada hala analiz edilmekte olan 3. aşama bir bilgi hırsızlığı DLL’sine yol açan çok aşamalı bir saldırı zincirinin ilk aşamasıdır” dedi.
Benzer şekilde, Kalabalık grevikötü amaçlı etkinliğin, aktör kontrollü altyapıya işaret gönderme, ikinci aşama yüklerin konuşlandırılması ve az sayıda durumda uygulamalı klavye etkinliği içerdiğini buldu.
Sophos, DLL tarafı yüklemesinin, kullanıcıların uygulamayı kullanırken herhangi bir fark hissetmeyecekleri şekilde tasarlandığını belirtiyor.
Bilgi hırsızı, Google Chrome, Microsoft Edge, Brave ve Mozilla Firefox tarayıcılarında depolanan sistem bilgilerini ve hassas verileri toplayabilir.
“PBX yazılımı, aktörler için çekici bir tedarik zinciri hedefi oluşturuyor; Aktörler, bir kuruluşun iletişimini izlemenin yanı sıra, çağrı yönlendirmeyi değiştirebilir veya dışarıdan ses hizmetlerine yönelik bağlantılara aracılık edebilir,” dedi SentinelOne.
Windows sürümü virüslü
Uygulamanın sürümleri Windows, Linux, Android ve MacOS’ta çalışırken, şirket ve güvenlik araştırmacıları SentinelOne ve Sophos, yalnızca Windows sürümünün virüs bulaştığı konusunda hemfikir. Crowdstrike ise MacOS sürümünün de virüs bulaştığını iddia ediyor.
CrowdStrike ayrıca saldırıyı ulus-devlet tehdit aktörüne bağlar. Labirent Chollima. Labyrinth Chollima, Lazarus grubunun bir alt kümesi olarak bilinen üretken bir Kuzey Koreli tehdit aktörüdür.
Telif hakkı © 2023 IDG Communications, Inc.