Một phiên bản được ký điện tử và bị trojan hóa của ứng dụng khách máy tính để bàn 3CX Voice Over Internet Protocol (VOIP) được cho là đang được sử dụng để nhắm mục tiêu vào khách hàng của công ty trong một cuộc tấn công chuỗi cung ứng đang diễn ra.
3CX là công ty phát triển phần mềm VoIP IPBX có Hệ thống Điện thoại 3CX được hơn 600.000 công ty trên toàn thế giới sử dụng và có hơn 12 triệu người dùng hàng ngày.
Danh sách khách hàng của công ty bao gồm một danh sách dài các công ty và tổ chức nổi tiếng như American Express, Coca-Cola, McDonald's, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA và Dịch vụ Y tế Quốc gia của Vương quốc Anh (người đã xuất bản một cảnh báo vào thứ năm).
Theo cảnh báo từ các nhà nghiên cứu bảo mật của Sophos và CrowdStrike, những kẻ tấn công đang nhắm mục tiêu vào cả người dùng Windows và macOS của ứng dụng phần mềm điện thoại 3CX bị xâm nhập.
“Hoạt động độc hại bao gồm đánh dấu hiệu cho cơ sở hạ tầng do tác nhân kiểm soát, triển khai tải trọng giai đoạn hai và trong một số ít trường hợp là hoạt động thao tác trên bàn phím,” nhóm thông tin về mối đe dọa của CrowdStrike cho biết .
"Hoạt động hậu khai thác phổ biến nhất được quan sát cho đến nay là tạo ra một trình bao lệnh tương tác," Sophos đã thêm vào trong một lời khuyên được đưa ra thông qua dịch vụ Phát hiện và Phản hồi được Quản lý của mình.
Trong khi CrowdStrike nghi ngờ một nhóm hack do nhà nước Bắc Triều Tiên hậu thuẫn mà họ theo dõi có tên Labyrinth Collima đứng sau cuộc tấn công này, các nhà nghiên cứu của Sophos cho biết họ "không thể xác minh quy kết này với độ tin cậy cao."
Hoạt động của Labyrinth Collima được biết là trùng lặp với các tác nhân đe dọa khác được theo dõi như Lazarus Group của Kaspersky, Covellite của Dragos, UNC4034 của Mandiant, Zinc của Microsoft và Nickel Academy của Secureworks.
"CrowdStrike có một quy trình phân tích chuyên sâu khi nói đến quy ước đặt tên của đối thủ," công ty nói với BleepingComputerr qua email.
" LABYRINTH CHOLLIMA là một tập hợp con của cái đã được mô tả là Tập đoàn Lazarus, bao gồm các đối thủ có mối quan hệ với CHDCND Triều Tiên khác, bao gồm SILENT CHOLLIMA và STARDUST CHOLLIMA ."
SentinelOne và Sophos cũng tiết lộ trong các báo cáo được công bố vào tối thứ Năm rằng ứng dụng máy tính để bàn 3CX bị trojan hóa đang được tải xuống trong một cuộc tấn công chuỗi cung ứng.
Cuộc tấn công chuỗi cung ứng này, được SentinelOne đặt tên là 'SmoothOperator', bắt đầu khi trình cài đặt MSI được tải xuống từ trang web của 3CX hoặc một bản cập nhật được đẩy lên ứng dụng máy tính để bàn đã được cài đặt.
Cập nhật quá trình cài đặt file độc hại
Khi MSI hoặc bản cập nhật được cài đặt, nó sẽ trích xuất các tệp DLL ffmpeg.dll [ VirusTotal ] và d3dcompiler_47.dll [ VirusTotal ] độc hại, được sử dụng để thực hiện giai đoạn tiếp theo của cuộc tấn công.
Mặc dù Sophos tuyên bố rằng tệp thực thi 3CXDesktopApp.exe không độc hại, nhưng tệp DLL ffmpeg.dll độc hại sẽ được tải bên lề và được sử dụng để trích xuất và giải mã một tải trọng được mã hóa từ d3dcompiler_47.dll.
Shellcode được giải mã này từ d3dcompiler_47.dll sẽ được thực thi để tải xuống các tệp biểu tượng được lưu trữ trên GitHub chứa các chuỗi được mã hóa Base64 được nối vào cuối hình ảnh, như minh họa bên dưới.
Chuỗi Base64 được nhúng trong tệp ICO
Kho lưu trữ GitHub nơi lưu trữ các biểu tượng này cho thấy biểu tượng đầu tiên được tải lên vào ngày 7 tháng 12 năm 2022.
SentinelOne cho biết phần mềm độc hại sử dụng các chuỗi Base64 này để tải xuống tải trọng cuối cùng cho các thiết bị bị xâm nhập, một phần mềm độc hại đánh cắp thông tin chưa biết trước đây được tải xuống dưới dạng DLL.
Phần mềm độc hại mới này có khả năng thu thập thông tin hệ thống và đánh cắp dữ liệu cũng như thông tin xác thực được lưu trữ từ hồ sơ người dùng Chrome, Edge, Brave và Firefox.
"Tại thời điểm này, chúng tôi không thể xác nhận rằng trình cài đặt Mac cũng bị trojan hóa tương tự. Cuộc điều tra đang diễn ra của chúng tôi bao gồm các ứng dụng bổ sung như tiện ích mở rộng của Chrome cũng có thể được sử dụng để thực hiện các cuộc tấn công", SentinelOne cho biết .
“Tác nhân đe dọa đã đăng ký một bộ cơ sở hạ tầng rộng lớn bắt đầu từ tháng 2 năm 2022, nhưng chúng tôi chưa thấy các mối liên hệ rõ ràng với các cụm mối đe dọa hiện có.”
Dữ liệu được nhắm mục tiêu trong cuộc tấn công chuỗi cung ứng SmoothOperator
Tuy nhiên, nhiều khách hàng trong các diễn đàn của 3CX đã tuyên bố rằng họ đã nhận được cảnh báo bắt đầu từ một tuần trước, vào ngày 22 tháng 3 , nói rằng ứng dụng khách VoIP đã bị phần mềm bảo mật SentinelOne , CrowdStrike , ESET , Palo Alto Networks và SonicWall đánh dấu là độc hại.
Khách hàng báo cáo rằng các cảnh báo bảo mật được kích hoạt sau khi cài đặt 3CXDesktopApp 18.12.407 và 18.12.416 phiên bản Windows hoặc 18.11.1213 và phiên bản mới nhất trên máy Mac. Trong một tuyên bố sau đó, 3CX đã xác nhận rằng các phiên bản 18.11.1213, 18.12.402, 18.12.407 & 18.12.416 của máy khách Mac đã bị nhiễm virus.
Một trong những mẫu ứng dụng điện thoại mềm 3CX bị trojan hóa do CrowdStrike chia sẻ đã được ký điện tử hơn ba tuần trước, vào ngày 3 tháng 3 năm 2023, với chứng chỉ 3CX Ltd hợp pháp do Sectigo cấp và được DigiCert đánh dấu thời gian.
BleepingComputer xác nhận chứng chỉ này đã được sử dụng trong các phiên bản phần mềm 3CX cũ hơn.
Ứng dụng khách VoIP 3CX đã ký
SentinelOne phát hiện "khung thâm nhập hoặc shellcode" trong khi phân tích tệp nhị phân 3CXDesktopApp.exe, ESET gắn thẻ nó là trojan "Win64/Agent.CFM", Sophos là "Troj/Loader-AF" và dịch vụ tìm kiếm mối đe dọa được quản lý Falcon OverWatch của CrowdStrike cảnh báo người dùng để điều tra hệ thống của họ về hoạt động độc hại "khẩn cấp".
Mặc dù các thành viên nhóm hỗ trợ của 3CX đã gắn thẻ nó là SentinelOne có khả năng dương tính giả trong một trong các chuỗi diễn đàn chứa đầy các báo cáo của khách hàng vào thứ Tư, công ty vẫn chưa thừa nhận vấn đề một cách công khai.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.