3CX söyledi bir yazılım güncellemesi üzerinde çalışmak birden fazla siber güvenlik satıcısının, aşağı yönlü müşterileri hedeflemek için popüler ses ve video konferans yazılımının dijital olarak imzalanmış ve hileli yükleyicilerini kullanan aktif bir tedarik zinciri saldırısı gibi görünen bir şey hakkında alarm vermesinin ardından masaüstü uygulaması için.
SentinelOne araştırmacıları, “Trojanlı 3CX masaüstü uygulaması, GitHub’dan Base64 verileriyle eklenen ICO dosyalarını çeken ve en sonunda üçüncü aşama bir bilgi hırsızı DLL’sine götüren çok aşamalı bir saldırı zincirinin ilk aşamasıdır.” söz konusu.
Siber güvenlik firması, adı altında etkinliği takip ediyor SmoothOperatörtehdit aktörünün Şubat 2022’ye kadar devasa bir saldırı altyapısı kaydettiğini belirtiyor. başladı 22 Mart 2023 civarında.
3CXDesktopApp’in arkasındaki şirket olan 3CX, iddialar aralarında American Express, BMW, Honda, Ikea, Pepsi ve Toyota gibi tanınmış isimlerin de bulunduğu 190 ülkede 600.000’den fazla müşteriye ve 12 milyon kullanıcıya sahip olmak.
3CX PBX istemcisi birden çok platform için kullanılabilirken, telemetri verileri şimdiye kadar gözlemlenen saldırıların PBX telefon sisteminin Windows Electron istemcisi (sürüm 18.12.407 ve 18.12.416) ve macOS sürümleriyle sınırlı olduğunu gösteriyor.
Özetle enfeksiyon zinciri, DLL yandan yükleme tekniği bir simge dosyası (ICO) yükünü almak için tasarlanmış hileli bir DLL (ffmpeg.dll) yüklemek için. GitHub deposu dosyayı barındırma o zamandan beri aşağı çekilmiş.
Son yük, sistem bilgilerini ve Google Chrome, Microsoft Edge, Brave ve Mozilla Firefox tarayıcılarında depolanan hassas verileri toplayabilen bir bilgi hırsızıdır.
bu macOS örneği (381 MB’lık bir dosya), göre güvenlik araştırmacısı Patrick Wardlegeçerli bir imza taşır ve Apple tarafından noter tasdiklidir, yani işletim sistemi onu engellemeden çalıştırılabilir.
Kötü amaçlı uygulama, Windows muadiline benzer bir Mach-O ikili dosyası içerir. libffmpeg.dylib harici bir sunucuya ulaşmak için tasarlanmış “pbxsources[.]com” UpdateAgent adlı bir dosyayı indirmek ve çalıştırmak için. Sunucu şu anda çevrimdışı.
Avcı bildirildi 242.519 halka açık 3CX telefon yönetim sistemi olduğunu. Broadcom’a ait Symantec, kendi danışmanlığında, söz konusu “Bu kötü amaçlı yazılım tarafından toplanan bilgiler muhtemelen saldırganların kurbanın daha fazla uzlaşmaya aday olup olmadığını ölçmesine izin verdi.”
Bir Olay Müdahale Uzmanı Olun!
Kurşun geçirmez olay müdahalesinin sırlarını ortaya çıkarın – Cynet’in IR Lideri Asaf Perlman ile 6 Aşamalı süreçte ustalaşın!
Trend Micro, “Yaygın kullanımı ve bir kuruluşun iletişim sistemindeki önemi nedeniyle, tehdit aktörleri bu yazılımı kullanan işletmelere (örneğin, hem iç hem de dış iletişimi izleyerek veya yeniden yönlendirerek) büyük zararlar verebilir.” söz konusu.
Siber güvenlik firması CrowdStrike söz konusu saldırıyı, kötü şöhretli Lazarus Group’un bir alt kümesi olan Labyrinth Chollima (namı diğer Nickel Academy) olarak izlediği Kuzey Koreli bir ulus-devlet aktörüne büyük bir güvenle atfediyor.
CrowdStrike, “Kötü amaçlı etkinlik, aktör kontrollü altyapıya işaret göndermeyi, ikinci aşama yüklerin konuşlandırılmasını ve az sayıda vakada uygulamalı klavye etkinliğini içerir.” katma.
3CX’in CEO’su Nick Galea, bir forum gönderisinde önümüzdeki birkaç saat içinde yeni bir yapı yayınlama sürecinde olduğunu söyledi ve şunları kaydetti: Android ve iOS sürümleri etkilenmez. Galea, “Maalesef bu, kullandığımız bir yukarı akış kitaplığının virüs bulaşması nedeniyle oldu,” dedi. söz konusudaha fazla ayrıntı belirtmeden.
Geçici bir çözüm olarak, şirket zorlamak müşterilerinin uygulamayı kaldırmasını ve yeniden yüklemesini veya alternatif olarak PWA istemcisini kullanmasını sağlar.
3CX, bir takip güncellemesi“sorunun git aracılığıyla Windows Electron uygulamasında derlediğimiz kitaplıklardan biri gibi görünüyor” ve konuyu daha fazla araştırdıklarını söyledi.
(Bu gelişen bir hikayedir ve macOS bulaşma zinciri hakkında yeni bilgilerle güncellenmiştir.)
