3CX müşterilerini hedef alan tedarik zinciri saldırısının kamuoyunun daha geniş ilgisini çekmesinden bu yana beş gün geçti, ancak yazılımın üreticisi Windows ve macOS masaüstü uygulamalarının (Electron yazılım çerçevesine dayalı) saldırganlar tarafından nasıl ele geçirildiğini henüz doğrulamadı.
3CX dışarıdan uzmanları çağırdı
“29 Mart’ta 3CX, kötü niyetli bir kişinin ürünümüzdeki bir güvenlik açığından yararlandığına dair üçüncü bir taraftan raporlar aldı. 3CX CEO’su Nick Galea Pazar günü yaptığı açıklamada, olayı soruşturmak için acil adımlar attık ve önde gelen küresel siber güvenlik uzmanları Mandiant’ı tuttuk.
“Mandiant yanımızda, tam bir soruşturma yürütüyoruz. Bu, Mandiant mühendislerinin web uygulamamızın ve Electron Uygulamamızın tüm kaynak kodunu herhangi bir güvenlik açığı için doğruladığı Web İstemcimizin ve PWA Uygulamamızın kapsamlı bir güvenlik incelemesini içerir.”
Mandiant ayrıca yeni bir sertifikayla imzalanan yeniden oluşturulmuş Electron Windows Uygulamasının güvenliğini de kontrol ediyor.
Müşterilerin olduğundan hiç bahsedilmedi. uyarı başladı 3CX, 22 Mart’ta uygulamayla ilgili şüpheli etkinlik bildiren EDR’leri hakkında.
FFmpeg geliştiricileri işaret etti enfekte olanların kaynağı olamayacaklarını ffmpeg.dll dosya ve diğerleri var işaret etti Electron SDK’dan taviz verilmesinin, onu kullanan uygulamaların bolluğu nedeniyle fark edilmiş olması.
3CX’in Galea’sı söz konusu ürünlerinde derlenmiş DLL’nin içine truva atının nasıl yerleştirildiğini bulmaya çalışıyorlar.
Ayrıca, uygulamaların kötü niyetli sürümlerinin geçerli 3CX sertifikalarıyla imzalandığını göz önünde bulundurursak, şirketin yapı ortamının güvenliği ihlal edilmiş gibi görünüyor. Şimdi, 3CX ve Mandiant’ın araştırmaları sırasında neler keşfedecekleri görülüyor.
Kötü amaçlı uygulamalar
Truva atına bulaştırılmış uygulamalar, açığa çıkarılan kötü amaçlı yazılım dağıtım altyapısı ve gerçek kötü amaçlı yazılımla ilgili müteakip analizler, saldırıda kullanılan ağ altyapısının bir kısmının Şubat 2022’de kaydedildiğini ve güvenliği ihlal edilmiş macOS Electron uygulamasının tanımlanan ilk sürümünün tespit edildiğini ortaya çıkardı. Ocak 2023.
“Etkilenen 3CX Electron Masaüstü Uygulaması, adlı virüslü bir kitaplık dosyasıyla birlikte paketlenmişti. ffmpeg.dll. Bu virüslü kitaplık, başka bir şifrelenmiş dosyayı daha fazla indirir d3dcompiler_47.dll. Bu dosyanın erişim işlevi vardır .ico GitHub’da barındırılan ve CnC bilgilerini içeren dosyalar. Bu CnC etki alanları, saldırganın kurbanın ortamında kötü niyetli faaliyetler gerçekleştirmesine izin veren nihai yükü teslim etmek için kullanılır,” diye kısaca açıkladı Zscaler araştırmacıları.
bu ffmpeg.dll imzalanmadı ama d3dcompiler_47.dll oldu – Microsoft tarafından. Siber güvenlik uzmanları Lawrence Abrams ve Will Dormann’a göre, saldırganlar CVE-2013-3900’den yararlandıkları için dosya değiştirildikten sonra Microsoft imzası geçersiz kılınmadı. eski Windows kusurumevcut düzeltme isteğe bağlıdır.
Volexity araştırmacıları, doğrudan 3CX indirme sunucularından indirilen Windows ve macOS için çok sayıda kötü amaçlı yükleyiciyi analiz etti ve son keşif yükünün – ICONICSTEALER – Windows kullanıcılarına geniş çapta dağıtıldığını buldu.
“Bu kampanyanın kurbanları için nihai sonuç, bu güncellemeyi yükleyen uç noktalara bilgi çalan kötü amaçlı yazılımların yüklenmesi oldu ve seçilen kurbanlar için ek bir keyfi yük de teslim edilmiş olabilir” dediler.
Ek olarak, hırsızda “yalnızca ICONIC yükleyicide ve bağlantılı olduğu bilinen APPLEJEUS kötü amaçlı yazılımında kullanılmış gibi görünen” bir kabuk kodu dizisi buldular. [the North Korean state-sponsored APT Lazarus Group].
3CX tedarik zinciri saldırısında kaç şirketin güvenliği ihlal edildi?
Zscaler “Trojanized 3CXDesktopApp yükleyicilerinin hem Windows hem de MacOS varyantı için Şubat 2023’e kadar uzanan enfeksiyonlar gözlemledi” ve çeşitli sektörlerde (teknoloji, hizmetler, üretim vb.) kurbanlar buldu.
Trend Micro, Cortex XDR çözümünün 127 müşterisinde kabuk kodu çalıştırmaya çalışan 3CXDesktopApp sürecini içeren etkinlik gözlemledi.
FortiGuard Labs, bu saldırıyla ilişkili bilinen kötü amaçlı alan adlarıyla bağlantıları gözlemledi ve kurbanların genel olarak Avrupa (İtalya, Almanya, Avusturya, İsviçre, Hollanda, Birleşik Krallık) ve ABD’de bulunduğunu tespit etti.