Trojanized έκδοση του 3CXDesktop μολύνει υπολογιστές ανυποψίαστων χρηστών σε όλο τον κόσμο

[nnn]

Δελτίο Τύπου:
Τι είναι το 3CXDesktopApp;
Το 3CXDesktopApp είναι ένας desktop client του συστήματος 3CX voice over IP (VoIP). Η εφαρμογή επιτρέπει στους χρήστες να επικοινωνούν εντός και εκτός του οργανισμού μέσω του επιτραπέζιου ή φορητού υπολογιστή τους.

Τι συνέβη;
Τις τελευταίες ημέρες υπάρχουν πολλά στοιχεία ότι μια Trojanized έκδοση του αρχικού desktop client 3CXDesktopApp γίνεται download σε υπολογιστές ανυποψίαστων χρηστών σε όλο τον κόσμο. Η Trojanized έκδοση περιλαμβάνει ένα κακόβουλο αρχείο DLL, το οποίο αντικατέστησε το αρχικό που είναι γνωστό ότι συνοδεύεται από την καλοήθη έκδοση της εφαρμογής. Στη συνέχεια, όταν φορτωθεί η εφαρμογή, το υπογεγραμμένο 3CXDesktopApp εκτελεί το κακόβουλο DLL ως μέρος της προκαθορισμένης διαδικασίας εκτέλεσής του.

Αυτό μετέτρεψε την αθώα δημοφιλή εφαρμογή VoIP σε ένα πλήρες κακόβουλο λογισμικό που μεταφέρεται σε απομακρυσμένους διακομιστές και είναι ικανό να εκτελεί κακόβουλο λογισμικό δεύτερου σταδίου.

Αλυσίδα εφοδιασμού κυριολεκτικά!
Αυτή είναι μια κλασική επίθεση αλυσίδας εφοδιασμού, αν και δεν υπάρχουν στοιχεία για οποιαδήποτε παρέμβαση στον πηγαίο κώδικα του 3CXDesktopApp. Κι όμως, κανείς δεν περίμενε πως θα λειτουργούσε ως κακόβουλο εμφύτευμα.

Αυτό αποδεικνύει πως νόμιμα εργαλεία μπορούν να μετατραπούν σε όπλα
Το βασικό επίπεδο προστασίας στον κυβερνοχώρο είναι η αναγνώριση κακόβουλων εργαλείων και συμπεριφορών πριν προλάβουν να χτυπήσουν. Οι προμηθευτές ασφάλειας επενδύουν σημαντικούς πόρους στην έρευνα και τη χαρτογράφηση τύπων και οικογενειών κακόβουλου λογισμικού και την απόδοσή τους σε συγκεκριμένους παράγοντες απειλών και τις σχετικές καμπάνιες, ενώ εντοπίζουν επίσης TTP (Τεχνικές, Τακτικές και Διαδικασίες) που ενημερώνουν τους σωστούς κύκλους ασφαλείας και την πολιτική ασφαλείας.

Για την καταπολέμηση εξελιγμένων λύσεων κυβερνοασφάλειας, οι φορείς απειλών αναπτύσσουν και τελειοποιούν τις τεχνικές επίθεσης τους, οι οποίες εξαρτώνται όλο και λιγότερο στη χρήση προσαρμοσμένου κακόβουλου λογισμικού και στρέφονται στη χρήση εργαλείων χωρίς υπογραφή.

Προστασία
Οι επιθέσεις με αλυσίδα εφοδιασμού είναι μια από τις πιο σύνθετες μορφές επίθεσης. Οι προμηθευτές ασφάλειας δεν μπορούν να βασίζονται αποκλειστικά σε λύσεις που βασίζονται στη φήμη ή σε λύσεις με ένα επίπεδο. Πρέπει να αμφισβητήσουν τη δραστηριότητα όπως φαίνεται στο δίκτυο, στα τελικά σημεία, στους διακομιστές και να συνδέσουν τις τελείες.

Περισσότερες πληροφορίες στο 3CXDesktop App Trojanizes in A Supply Chain Attack: Check Point Customers Remain Protected - Check Point Software

[Zus]

Πρώτες πληροφορίες νομίζω μιλάνε για Lazarus group.

Πολύ σοβαρή είδηση.

Ανάμεσα στα υπόλοιπα ωραία, το ενδιαφέρον είναι πως το εργαλείο, έμπαινε σε sleep mode για κάτι ημέρες μέχρι να επικοινωνήσει με c2.

Ουσιαστικά, ακόμα δεν έχουμε δει τις προεκτάσεις όλου αυτού.

Το ακόμα πιο τρελό είναι ότι αναλυτές, έβλεπαν προειδοποιήσεις στα εργαλεία από τις 22 του μήνα και οι απαντήσεις στα φόρουμ, ήταν να φτιαχτούν exclusions στα EDR.

[BlueChris]

Το συγκεκριμένο Github ήταν το επίσημο σημείο download του Desktop Client?

[Zus]

Όχι. Χρησιμοποιήθηκε απλά να κατεβάσει το .ico στο οποίο είχαν κρύψει απαραίτητα πράγματα.

[BlueChris]

Όχι. Χρησιμοποιήθηκε απλά να κατεβάσει το .ico στο οποίο είχαν κρύψει απαραίτητα πράγματα.

Ακόμα δεν καταλαβαίνω, η official εγκατάσταση δηλαδή σε έστελνε και κατέβαζε κάτι από το github? ρωτάω γιατί αν η επίσημη εγκατάσταση ΔΕΝ το έκανε αυτό, δεν καταλαβαίνω το πρόβλημα. Αν κάποιος κατέβασε την εγκατάσταση από οπουδήποτε αλλού τότε του εύχομαι καλή τύχη όπως σε όλα τα πράγματα.

[Zus]

Ναι η official εγκατάσταση ή το official update.

Ψάξε περί supply chain attack. Αν αφορά τελικά supply chain attack και δεν τους είχαν ξεβρακωσει καιρό πριν.

[minas]

Μερικές περισσότερες πληροφορίες που έχω συναντήσει από το ψάξιμο:
Ένα πολύ πλήρες και ενημερωμένο άρθρο με εργαλεία για ελέγχο προσβολής:
https://www.huntress.com/blog/3cx-vo...-chain-threats

Οι πρώτοι που το ανέφεραν φαίνεται να είναι η Crowdstrike:
https://www.crowdstrike.com/blog/cro...app-customers/

Και η χλιαρή ανακοίνωση από τη 3CX:
https://www.3cx.com/blog/news/deskto...alert-updates/

[Zus]

Μερικές περισσότερες πληροφορίες που έχω συναντήσει από το ψάξιμο:
Ένα πολύ πλήρες και ενημερωμένο άρθρο με εργαλεία για ελέγχο προσβολής:
https://www.huntress.com/blog/3cx-vo...-chain-threats

Οι πρώτοι που το ανέφεραν φαίνεται να είναι η Crowdstrike:
https://www.crowdstrike.com/blog/cro...app-customers/

Και η χλιαρή ανακοίνωση από τη 3CX:
https://www.3cx.com/blog/news/deskto...alert-updates/

Έκαναν εντελώς λάθος χειρισμό από την πρώτη στιγμή και ίσως θα έχουν και σοβαρότερο πρόβλημα, αν τελικά, δεν είχαμε supply chain X2.

Αν δηλαδή δεν υπήρχε πρόβλημα με συγκεκριμένο, μολυσμένο repo, που χρησιμοποιήθηκε από την ομάδα τους. Γιατί τότε θα σημαίνει ότι ίσως είναι compromised οι ίδιοι.

Αν είναι compromised οι ίδιοι, τότε δεν μπορούν να ξέρουν καν, αν το επόμενο ή κάποιο από τα επόμενα update θα είναι καθαρά. Αν δεν είναι compromised και όντως ήταν θέμα μολυσμένου repo, τότε δε ξέρουμε και ποια άλλα software ίσως είναι προβληματικά.

Ελπίζω να βγάλει άκρη η Mandiant που νομίζω ότι προσέλαβαν.

[kosath]

Σε μία εταιρία που έχω σετάρει το 3cx, μόλις έκανε update ο client, το τσίμπησε το MS Defender...

[zeronero]

Αυτό αναφέρουν και αυτοί, ότι το πιθανότερο είναι να το κόψει το av.

[Zus]

Μία καλή εικόνα που κυκλοφόρησε Twitter.

[Zus]

Security Update Mandiant Initial Results

Based on the Mandiant investigation into the 3CX intrusion and supply chain attack thus far, they attribute the activity to a cluster named UNC4736. Mandiant assesses with high confidence that UNC4736 has a North Korean nexus.