3CX İnternet Üzerinden Ses Protokolü (VoIP) masaüstü istemcisinin truva atına dönüştürülmüş bir sürümünü kullanan devam eden bir tedarik zinciri saldırısı ortaya çıkarıldıktan sonra bir suçlama oyunu başlamış gibi görünüyor.
3CX CEO’suna göre, son tedarik zinciri saldırısına kendi şirketleri neden olmadı, bunun yerine, kötü amaçlı yazılım yükünün kaynağı olarak özellikle FFmpeg olarak adlandırılan bir yukarı akış satıcısının güvenliğinin ihlal edilmesinden kaynaklandı.
Ancak FFmpeg, derlenmiş ikili dosyaları yayınlamadıklarını belirterek herhangi bir müdahaleyi reddetti.
3CX ve tedarik zinciri saldırısı
Güvenlik araştırmacıları, Mercedes Benz, Coca-Cola ve American Express gibi yüksek profilli müşteriler de dahil olmak üzere dünya çapında 600.000’den fazla kuruluş tarafından kullanılan bir iletişim yazılımı satıcısı olan 3CX’e yönelik bir tedarik zinciri saldırısını ortaya çıkardı.
Saldırının satıcının VoIP sistemlerini hedef alarak, 7. güncellemeyi çalıştıran müşteriler için Windows Electron istemcisini etkilediğine inanılıyor.
Müşteriler, 22 Mart’tan beri yazılım üreticisinin forumlarında şüpheli etkinlik bildirdiler, ancak 3CX CEO’su Nick Galea kötü amaçlı yazılımın bulaştığını ancak bugün doğruladı.
Tedarik zinciri saldırısında gözlemlenen kötü amaçlı etkinlik, aktör kontrollü altyapıya işaret gönderme, ikinci aşama yüklerin konuşlandırılması ve uygulamalı klavye etkinliği gibi etkinlikleri içerir.
3CX’in sahip olduğu güvenlik sorununu kabul etti18.12.407 ve 18.12.416 sürüm numaralı Electron Windows Uygulaması için Güncelleme 7’yi ve 18.11.1213, 18.12.402, 18.12.407 ve 18.12.416 sürüm numaralı Electron Mac Uygulamasını etkilediğini belirterek.
SentinelOne’a göre, truva atı haline getirilmiş 3CXDesktopApp, Chrome, Edge, Brave ve Firefox’tan bilgi çalmayı amaçlayan çok aşamalı bir saldırı zincirinin yalnızca ilk aşaması.
SentinelOne, “Truva atına dönüştürülen 3CXDesktopApp, Github’dan base64 verileriyle eklenen ICO dosyalarını çeken ve en sonunda 3. aşama bilgi hırsızı DLL’sinin yazı yazıldığı sırada hala analiz edilmesine yol açan çok aşamalı bir saldırı zincirinin ilk aşamasıdır” dedi. tehdit değerlendirme raporu.
“Bu tedarik zincirinin arkasındaki tehdit aktörüyle ilgili araştırmamız devam ediyor. Tehdit aktörü, Şubat 2022’den itibaren genişleyen bir altyapı seti kaydetti, ancak mevcut tehdit kümeleriyle henüz bariz bağlantılar göremiyoruz.”
3CX, FFmpeg ve suçlama oyunu
CEO Nick Galea, 3CX blog gönderisinde olası temel neden hakkında yaptığı bir tartışmada, “Maalesef bu, kullandığımız bir yukarı akış kitaplığının virüs bulaşması nedeniyle oldu,” dedi.
Tartışma, video, ses ve diğer multimedya dosyalarını ve akışlarını işlemek için bir dizi kitaplık ve programdan oluşan ücretsiz ve açık kaynaklı yazılım projesi FFmpeg’i gösterdi.
Yanıt o zamandan beri kaldırıldı.
@FFmpeg tarafından gönderilen bir tweet, “FFmpeg’in kötü amaçlı yazılım dağıtımına karıştığı konusunda birkaç yanlış rapor var” dedi.
“FFmpeg yalnızca kaynak kodu sağlar ve kaynak kodundan taviz verilmemiştir. Güvenliği ihlal edilmiş herhangi bir “ffmpeg.dll” satıcının sorumluluğundadır” diye ekledi.
FFmpeg’in kötü amaçlı yazılım dağıtımına dahil olduğuna dair birkaç yanlış rapor var.
FFmpeg yalnızca kaynak kodu sağlar ve kaynak kodundan taviz verilmemiştir. Ele geçirilen herhangi bir “ffmpeg.dll” satıcının sorumluluğundadır.
— FFmpeg (@FFmpeg) 30 Mart 2023
3CX tedarik zinciri krizi: mevcut durum
600.000’den fazla şirket 3CX İnternet Üzerinden Ses Protokolü (VOIP) Windows masaüstü istemcisi, yaklaşık 12.000.000 kullanıcı. 3CX’in dalgalanma etkileri çok büyük olmuştur.
Siber güvenlik şirketi Sophos, virüs bulaşmış bir MacOS varyantı belirledi. Mac güvenlik web sitesinin ve Objective-See araç paketinin yaratıcısı Patrick Wardle, onaylanmış 30 Mart’ta bu MacOS yükleyicisi trojanlaştırıldı.
“Mac enfeksiyonları için ikinci aşama bir yükün sınırlı dağıtımını belirledik. IOC’lerimizi MacOS bileşenlerini yansıtacak şekilde güncelledik. Telemetrimiz artık en erken enfeksiyon girişimini 8 Mart 2023 olarak ayarlıyor,” dedi SentinelOne raporu.
Spohos, şirketin Windows veya macOS’ta Masaüstü Uygulamasına sahip olan bir 3CX kullanıcısının uygulamayı hemen kaldırması ve bilgisayarda ve günlüklerinde “kötü amaçlı yazılımın açık belirtileri” olup olmadığını kontrol etmesi gerektiği konusunda uyardı. rapor durum hakkında.
Raporda, “Kötü amaçlı yazılım yüklü sürümler görünüşe göre 3CX’in kendisi tarafından oluşturulmuş ve dağıtılmış, bu nedenle şirketten bekleyeceğiniz dijital imzalara sahipler ve neredeyse kesin olarak resmi bir 3CX indirme sunucusundan geliyorlar” deniyordu.
“Başka bir deyişle, alternatif veya resmi olmayan indirme sitelerinden uzak durduğunuz için bağışık değilsiniz. Bilinen kötü ürün sürüm numaraları, 3CX’in güvenlik uyarısında bulunabilir.”