Это новая атака на цепочку поставок, нацеленная на клиентов телефонной системы с 12 миллионами пользователей.
Несколько охранных компаний забили тревогу Активная атака на цепочку поставок с использованием троянизированной версии 3CX. Широко используемый клиент для голосовых и видеозвонков Для целевых клиентов ниже по течению.
3CX является разработчиком программной телефонной системы, которую используют более 600 000 организаций по всему миру, включая American Express, BMW, McDonald’s и Национальную службу здравоохранения Великобритании. Компания утверждает, что у нее более 12 миллионов ежедневных пользователей по всему миру.
Исследователи из компаний по кибербезопасности CrowdStrike, Sophos и SentinelOne в среду опубликовали сообщения в блогах с подробным описанием атаки в стиле SolarWinds, которую SentinelOne назвала «Smooth Operator», которая включает доставку троянских установщиков 3CXDesktopApp для установки вредоносного ПО для кражи информации в корпоративные сети.
Это вредоносное ПО способно собирать системную информацию и красть данные и сохраненные учетные данные. Гугл Хром, профили пользователей Microsoft Edge, Brave и Firefox. Другая наблюдаемая вредоносная активность включает отправку маяка в контролируемую субъектом инфраструктуру, развертывание полезной нагрузки второго этапа и, в небольшом числе случаев, «действия рук на клавиатуре», согласно CrowdStrike.
Исследователи безопасности сообщают, что злоумышленники нацелены на версии скомпрометированного приложения VoIP как для Windows, так и для macOS. В настоящее время версии для Linux, iOS и Android не затронуты.
Исследователи SentinelOne заявили, что впервые увидели признаки вредоносной активности 22 марта и немедленно исследовали аномалии, в результате чего было обнаружено, что несколько организаций пытались установить троянизированную версию настольного приложения 3CX, подписанную действительным цифровым сертификатом. Эксперт Apple по безопасности Патрик Уордл тоже Найденный Что Apple нотариально заверила вредоносное ПО, что означает, что компания проверила его на наличие вредоносного ПО и ничего не было обнаружено.
Директор по информационной безопасности 3CX Пьер Журдан Сказал В четверг компания узнала о «проблеме безопасности», влияющей на ее приложения для Windows и MacBook.
Джордан отмечает, что это была «целенаправленная атака со стороны продвинутой постоянной угрозы, возможно, даже спонсируемого государством» хакера. CrowdStrike предполагает, что за атакой на цепочку поставок стоит северокорейский злоумышленник Labyrinth Cholima, подгруппа печально известной Lazarus Group.
В качестве обходного пути компания 3CX призывает своих клиентов удалить приложение и переустановить его или же использовать клиент PWA. “А пока мы приносим извинения за то, что произошло, и сделаем все, что в наших силах, чтобы исправить эту ошибку», — сказал Джордан.
Мы еще многого не знаем об атаке на цепочку поставок 3CX, в том числе о том, сколько организаций было потенциально скомпрометировано. По данным Shodan.io, сайта, отображающего устройства, подключенные к Интернету, в настоящее время существует более 240 000 общедоступных систем управления телефонами 3CX.
