Devlet destekli olduğundan şüphelenilen tehdit aktörleri, yaygın olarak kullanılan 3CX yazılım telefonu çözümünün resmi Windows masaüstü uygulamasını trojenleştirdi, bir dizi siber güvenlik şirketi Çarşamba günü uyarmaya başladı.
3CX nedir?
3CX, video konferans ve canlı sohbet özellikleri sağlayan İnternet Üzerinden Ses Protokolü (VoIP) özel otomatik şube değişimi (PABX) yazılımıdır.
3CX, uygulamanın Windows, macOS, Linux, Android ve iOS sürümünü, bir Chrome uzantısını ve PWA (progresif web uygulaması) sürümünü sunar, böylece yazılım herhangi bir tarayıcı aracılığıyla da kullanılabilir.
Şirket, 600.000’den fazla kurumsal müşterisi arasında birçok yüksek profilli şirket ve kuruluşu listeliyor.
Ne oldu?
3CX CISO Pierre Jourdan, 3CX istemci uygulamasının (Electron çerçevesine dayalı) Windows sürümünün kötü amaçlı yazılımla enjekte edildiğini söylüyor ve kullanıcılara uygulamayı şimdilik kaldırmalarını ve PWA sürümünü kullanmalarını tavsiye ediyor. temiz versiyon.
Ancak Trend Micro ve Crowdstrike araştırmacıları, 3CX masaüstü uygulamasının macOS sürümlerinin de truva atına maruz kaldığını söylüyor. Daha spesifik olarak, bu dosyalar:
- 3cxdesktopapp-18.12.407.msi (Windows)
- 3cxdesktopapp-18.12.416.msi (Windows)
- 3CXDesktopApp-18.11.1213.dmg (macOS)
- 3cxdesktopapp-latest.dmg (macOS)
Bu nedenle, 3CX araştırmasını bitirene ve biz daha fazlasını öğrenene kadar müşterilerin bunları bulup kaldırması iyi olur. Her iki şirket de (ve Sophos ve SentinelOne), 3CX müşterilerinin sistemlerinde uzlaşma kanıtı bulmak için kullanabilecekleri göstergeler veya uzlaşma sağladı.
Truva atı haline getirilmiş sürümlerin müşterilere ne kadar önce sunulmaya başlandığı hâlâ net değil, ancak Tenable’daki personel araştırma mühendisi Satnam Narang’ın işaret ettiği gibi, “3CX müşterileri, 22 Mart gibi erken bir tarihte SentinelOne’dan tehdit uyarıları aldıklarını bildirdi.”
Arkasında kim var?
3CX’in araştırması, umarız yakında meşru uygulamalarının truva atına bulaştırılmış olanlarla değiştirildiği anı tam olarak ortaya çıkaracak ve dağıtım altyapılarının nasıl tehlikeye atıldığını paylaşabilecektir.
Bu arada, potansiyel olarak etkilenen müşteriler, kötü amaçlı uygulamaların şunları bilmesi gerekir:
- Çeşitli C2 sunucularıyla iletişim kurdu
- Genel bir GitHub deposunda barındırılan ikinci aşama bir yük alındı ve ardından
- Chrome, Edge, Brave ve Firefox tarayıcılarındaki kullanıcı profillerinden sistem bilgilerini ve verileri ve depolanmış oturum açma kimlik bilgilerini ele geçirebilen bilgi çalan kötü amaçlı yazılım indirildi.
Crowdstrike araştırmacıları, az sayıda vakada uygulamalı klavye etkinliğinin ardından geldiğini belirtti.
“HTTPS işaret yapısı ve şifreleme anahtarı [in this supply chain attack campaign] CrowdStrike tarafından 7 Mart 2023’te DPRK-nexus tehdit aktörü Labyrinth Chollima’ya yüksek güvenle atfedilen bir kampanyada gözlemlenenlerle eşleşiyor” diye eklediler, bu yüzden bunun arkasında Kuzey Kore devlet destekli bilgisayar korsanlarının olabileceğine inanıyorlar. Diğer siber güvenlik şirketleri, saldırganların kim olabileceği konusunda bilgi vermedi.