3CX Voice Over Internet Protokolü (VoIP) masaüstü istemcisinin dijital olarak imzalanmış ve truva atlı bir versiyonunun, şirketin müşterilerini devam eden bir tedarik zinciri saldırısında hedeflemek için kullanıldığı bildiriliyor.
3CX, 3CX telefon sistemi dünya çapında 600.000'den fazla şirket tarafından kullanılan ve günlük 12 milyondan fazla kullanıcıya sahip bir VoIP IPBX yazılım geliştirme şirketidir.
Şirketin müşteri listesi, American Express, Coca-Cola, McDonald's, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA ve İngiltere'nin Ulusal Sağlık Servisi gibi yüksek profilli şirketlerin ve kuruluşların uzun bir listesini içeriyor ( Perşembe günü uyarı).
Sophos ve CrowdStrike'tan gelen güvenlik araştırmacılarının uyarılarına göre, saldırganlar tehlikeye atılan 3CX yazılım telefon uygulamasının hem Windows hem de MacOS kullanıcılarını hedefliyorlar.
CrowdStrike'ın tehdidi Intel ekibi, "Kötü niyetli etkinlik, aktör kontrollü altyapıya işaretleme, ikinci aşama yüklerin konuşlandırılmasını ve az sayıda vakada uygulamalı anahtarlık faaliyeti içeriyor." Dedi.
Yönetilen algılama ve yanıt hizmeti yoluyla yayınlanan bir danışmanlığa eklenen Sophos, "Bugüne kadar gözlemlenen en yaygın servis sonrası etkinlik, etkileşimli bir komut kabuğunun yumurtlamasıdır."
Crowdstrike, Labirent Collima'nın bu saldırının arkasında olduğu gibi Kuzey Kore devlet destekli bir hack grubu şüpheliyken, Sophos'un araştırmacıları "bu ilişkiyi yüksek güvenle doğrulayamayacaklarını" söylüyorlar.
Labirent Collima etkinliğinin Kaspersky tarafından Lazarus Grubu olarak izlenen diğer tehdit aktörleri, Dragos tarafından Covellite, Maniant tarafından UNC4034, Microsoft tarafından çinko ve SecureWorks tarafından Nikel Akademisi ile örtüştüğü bilinmektedir.
"CrowdStrike, rakiplerin adlarını adlandırma söz konusu olduğunda derinlemesine bir analitik süreci vardır." Dedi.
"Labirent Chollima, Silent Chollima ve Stardust Chollima da dahil olmak üzere diğer DPRK-Nexus rakiplerini içeren Lazarus Grubu olarak tanımlanan şeyin bir alt kümesidir."
Sentinelone ve Sophos da Perşembe akşamı yayınlanan raporlarda, Truva Anlaşılan 3CX masaüstü uygulamasının bir tedarik zinciri saldırısında indirildiğini açıkladı.
SentinelOne tarafından 'smoothoperator' olarak adlandırılan bu tedarik zinciri saldırısı, MSI yükleyicisi 3CX'in web sitesinden indirildiğinde veya bir güncelleme zaten yüklü bir masaüstü uygulamasına itildiğinde başlar.
MSI veya güncelleme yüklendiğinde, saldırının bir sonraki aşamasını gerçekleştirmek için kullanılan kötü amaçlı ffmpeg.dll [virustotal] ve d3dcompiler_47.dll [virustotal] dll dosyaları çıkaracaktır.
Sophos, 3CXDESKTOPPAPP.EXE Yürütülebilir Mayıs ayının kötü niyetli olmadığını belirtirken, kötü niyetli ffmpeg.dll DLL kenar yüklenecek ve D3dcompiler_47.dll'den şifreli bir yükü çıkarmak ve şifresini çözmek için kullanılacaktır.
D3dcompiler_47.dll'den gelen bu şifre çözülmüş kabuk kodu, GitHub'da barındırılan, aşağıda gösterildiği gibi görüntülerin sonuna eklenen Base64 kodlu dizeleri içeren simge dosyalarını indirmek için yürütülecektir.
Bu simgelerin depolandığı GitHub deposu, ilk simgenin 7 Aralık 2022'de yüklendiğini gösterir.
SentinelOne, kötü amaçlı yazılımların, daha önce bilinmeyen bir bilgi çalan kötü amaçlı yazılım olan, DLL olarak indirilen bir son yükü indirmek için bu Base64 dizelerini kullandığını söylüyor.
Bu yeni kötü amaçlı yazılım, sistem bilgilerini toplayabilir ve Chrome, Edge, Brave ve Firefox kullanıcı profillerinden veri ve depolanmış kimlik bilgilerini çalabilir.
Sentinelone, "Şu anda, MAC yükleyicisinin benzer şekilde truva attığını doğrulayamayız. Devam eden araştırmamız, krom uzantısı gibi saldırıları sahneye çıkarmak için de kullanılabilecek ek uygulamalar içeriyor." Dedi.
"Tehdit oyuncusu, Şubat 2022 gibi başlayarak genişleyen bir dizi altyapı kaydetti, ancak mevcut tehdit kümelerine henüz bariz bağlantılar görmüyoruz."
CrowdStrike, 3CX'in masaüstü istemcisinin truva atlı sürümünün aşağıdaki saldırgan kontrollü alanlardan birine bağlanacağını söylüyor:
Masaüstü istemcisinin AzureonLinatorage [.] Com, msStorageBoxes [.] Com ve msstorageazure [.] Com dahil olmak üzere bağlanmaya çalıştığı müşteriler tarafından belirtilen bazı alanlar.
BleepingComputer, yazılımın iddiaya göre trojanize edilmiş bir versiyonunu test etti, ancak bu alanlarla herhangi bir bağlantıyı tetikleyemedi.
Bununla birlikte, 3CX'in forumlarındaki birden fazla müşteri, 22 Mart'ta VoIP istemcisi uygulamasının Sentinelone, Crowdstrike, ESET, Palo Alto Networks ve Sonicwall güvenlik yazılımı tarafından kötü niyetli olarak işaretlendiğini söyleyerek bir hafta önce başlayarak uyarılar aldıklarını belirtti.
Müşteriler, 3CXDESKTOPAPP 18.12.407 ve 18.12.416 Windows sürümlerini veya 18.11.1213 ve Mac'lerin en son sürümünü yükledikten sonra güvenlik uyarılarının tetiklendiğini bildirir. Daha sonraki bir açıklamada, 3CX, Mac istemcisinin 18.11.1213, 18.12.402, 18.12.407 ve 18.12.416 sürümlerinin enfekte olduğunu doğruladı.
CrowdStrike tarafından paylaşılan truva atık 3CX Softphone istemci örneklerinden biri, üç hafta önce 3 Mart 2023'te, Sectigo tarafından yayınlanan ve Digicert tarafından zaman damgası ile dijital olarak imzalandı.
BleepingComputer aynı sertifikanın 3CX yazılımının eski sürümlerinde kullanıldığını doğruladı.
SentinelOne "Penetrasyon Çerçevesi veya Shellcode" tespit eder 3CXDESKTOPAPP.EXE İkili, ESET onu "Win64/Agent.cfm" Trojan, Sophos olarak "Troj/Loader-Af-Af" ve Crowdstrike's Falcon Overwatch Yönetilen Tehdit Avcılık Hizmeti Kullanıcıları kötü niyetli aktivite sistemlerini "acilen" araştırmak.
3CX'in destek ekibi üyeleri, Çarşamba günü müşteri raporlarıyla dolu forum konularından birinde potansiyel bir Sentinelone yanlış pozitif olarak etiketlemesine rağmen, şirket sorunları halka açık olarak kabul etmedi.
Bir 3CX sözcüsü, BleepingComputer bugün daha önce ulaştığında yorum talebine cevap vermedi.
3CX CEO'su Nick Galea Perşembe sabahı bir forum yayınında, 3CX masaüstü uygulamasının kötü amaçlı yazılımları içerecek şekilde tehlikeye atıldığını doğruladı. Sonuç olarak, Galea tüm müşterilerin masaüstü uygulamasını kaldırmasını ve bunun yerine PWA istemcisine geçmesini öneriyor.
"Birçoğunuzun 3CX DesktopApp'ın içinde bir kötü amaçlı yazılımı olduğunu fark ettiğiniz gibi. Güncelleme 7 çalıştıran müşteriler için Windows Electron istemcisini etkiler. Dün gece bize bildirildi ve yayınlayacağımız masaüstü güncellemede çalışıyoruz. Gelecek saatler, "Galea 3CX forumlarında paylaştı. "Bunu yapmanın en iyi yolu uygulamayı kaldırmaktır (Windows Defender'ı çalıştırıyorsanız, bunu maalesef bunu otomatik olarak yapacak) ve sonra tekrar yükleyecek."
Diyerek şöyle devam etti: "Bugün daha sonra tam bir rapor analiz edeceğiz ve yayınlayacağız. Şu anda sadece güncellemeye odaklanıyoruz."
Olayla ilgili bir blog yazısında, 3CX Ciso Pierre Jourdan, masaüstü uygulamalarının bir yukarı akış kütüphanesi nedeniyle tehlikeye atıldığını belirtiyor.
"Sorun, GIT aracılığıyla Windows Electron uygulamasına derlediğimiz paket kütüphanelerinden biri gibi görünüyor."
Diyerek şöyle devam etti: "Bugün daha sonra daha derinlemesine yanıt verebilmek için konuyu araştırıyoruz. İşte şimdiye kadar yaptığımız hakkında bazı bilgiler."
Bununla birlikte, 3CX, hangi kütüphaneye atıfta bulunduklarını ve geliştirici ortamlarının tehlikeye girmesine neden olup olmadığını henüz paylaşmamıştır.
BleepingComputer, olayla ilgili başka sorularla 3CX'e ulaştı.
GÜNCELLEME 3/29/23 21:31 ET: Sophos'tan daha fazla bilgi eklemek için güncellendi Güncelleme 3/30/23 09:33 AM ET: 3CX'ten eklendi. CWE-506 zayıflığı 'gömülü kötü amaçlı kod olarak tanımlanır.
3CX Saldırı'nda kullanılmış 'Sabit' Fix ile 10 yaşındaki Windows Hatası
Hız testçileri olarak poz veren NPM paketleri, bunun yerine kripto madencileri yükleyin
Kaynak: Bleeping Computer