Araştırmacılar Çarşamba günü yaptığı açıklamada, dünya çapında binlerce şirket tarafından kullanılan bir sesli ve görüntülü konferans uygulaması olan 3CX masaüstü uygulamasının müşterilerini hedef alan bir tedarik zinciri saldırı kampanyasının başladığını söyledi. Saldırıda Kuzey Kore bağlantılı tehdit gruplarından şüpheleniliyor.
CrowdStrike gözlemlendi”beklenmedik kötü niyetli etkinlik Çarşamba gününden itibaren 3CX masaüstü uygulamasında yasal olarak imzalanmış bir ikili dosyadan”. Gözlemlenen davranış, bir tehdit aktörü tarafından kontrol edilen altyapıya işaretlemeyi, ikinci aşama yüklerin konuşlandırılmasını ve az sayıda vakada uygulamalı klavye etkinliğini içeriyordu.
Uygulama Windows, macOS, Linux ve mobil cihazlarda kullanılabilir, ancak CrowdStrike, şimdiye kadar Windows ve macOS’ta etkinlik gözlemlendiğini söylüyor. Diğer araştırmacılar, macOS’ta etkinliği doğrulayamadı.
CrowdStrike araştırmacıları, saldırının şu şekilde bilinen bir tehdit aktörüne bağlı olduğunu söyledi: Labirent ChollimaKore Demokratik Halk Cumhuriyeti ile bağlantılı bir grupen az 2009’dan beri aktif olan.
bu Siber Güvenlik ve Altyapı Güvenliği Ajansı telefon uygulamasının truva atı haline getirildiği raporlarından haberdar olduğunu doğruladı ve kuruluşları CrowdStrike ve SentinelOne tarafından sağlanan bilgileri incelemeye ve uzlaşma belirtileri aramaya çağırıyor.
3CX teknolojisi birden fazla kişi tarafından kullanılıyor 600.000 kurumsal müşteri dünya çapında ve 12 milyondan fazla aktif günlük kullanıcıya sahiptir. 3CX web sitesine göre müşterileri arasında PepsiCo, Birleşik Krallık’ın Ulusal Sağlık Hizmeti, Best Western ve Air France gibi büyük firmalar yer alıyor.
Shodan verileri, halka açık 242.000’den fazla 3CX telefon yönetim sistemini gösteriyor. Huntress’e göre.
Siber güvenlik firması, 3CXDesktopApp.exe ikili dosyasının bilinen kötü amaçlı karmalarla eşleştiği ve 13 Mart’ta 3CX tarafından imzalandığı 2.595 olay raporu gönderdi.
3CX, 7 güncellemesini çalıştıran Windows Electron uygulamasını etkileyen hedefli bir saldırının arkasında gelişmiş bir kalıcı tehdit aktörünün olduğunu doğruladı. CEO Nick Galea Perşembe günü bir uyarıda söyledi.
Galea, müşterilere uygulamayı kaldırıp yeniden yüklemelerini önerdi ve şirketin bir analiz yapmayı planladığını ve Perşembe günü daha sonra bir rapor yayınlayacağını ekledi.
Sophos’tan araştırmacılar, saldırının etrafında döndüğünü söyledi. DLL yandan yüklemebu da saldırının müşteriler tarafından fark edilmeden gelişmesine izin verdi.
SentinelOne araştırmacıları, davranış tespitlerinde ani bir artış görmeye başladı 22 Mart’ta başlıyor.