3CX, birden fazla siber güvenlik satıcısının, aşağı yönlü müşterileri hedeflemek için popüler ses ve video konferans yazılımının dijital olarak imzalanmış ve hileli yükleyicilerini kullanan aktif bir tedarik zinciri saldırısı gibi görünen bir şey hakkında alarm vermesinin ardından, masaüstü uygulaması için bir yazılım güncellemesi üzerinde çalıştığını söyledi.
SentinelOne araştırmacıları, “Trojanlı 3CX masaüstü uygulaması, GitHub’dan Base64 verileriyle eklenen ICO dosyalarını çeken ve en sonunda üçüncü aşama bir bilgi hırsızı DLL’sine yol açan çok aşamalı bir saldırı zincirinin ilk aşamasıdır” dedi.
Siber güvenlik firması, adı altında etkinliği takip ediyor SmoothOperatörtehdit aktörünün Şubat 2022’ye kadar devasa bir saldırı altyapısı kaydettiğini belirtiyor.
3CXDesktopApp’ın arkasındaki şirket olan 3CX, 190 ülkede 600.000’den fazla müşteriye ve 12 milyon kullanıcıya sahip olduğunu iddia ediyor ve bunların arasında American Express, BMW, Honda, Ikea, Pepsi ve Toyota gibi tanınmış isimler de var.
3CX PBX istemcisi birden fazla platform için kullanılabilirken, telemetri verilerine atıfta bulunan Sophos, şu ana kadar gözlemlenen saldırıların PBX telefon sisteminin Windows Electron istemcisiyle sınırlı olduğuna dikkat çekti.
Özetle, bulaşma zinciri, bir simge dosyası (ICO) yükünü almak için tasarlanmış hileli bir DLL (ffmpeg.dll) yüklemek için DLL yandan yükleme tekniğinden yararlanır. Dosyayı barındıran GitHub deposu o zamandan beri aşağı çekilmiş.
Bilgi hırsızı, Google Chrome, Microsoft Edge, Brave ve Mozilla Firefox tarayıcılarında depolanan sistem bilgilerini ve hassas verileri toplama yeteneğine sahiptir.
Siber güvenlik firması CrowdStrike, saldırının kötü şöhretli Lazarus Group’un bir alt kümesi olan Labyrinth Chollima (namı diğer Nickel Academy) olarak izlediği Kuzey Koreli bir ulus devlet aktörüyle bağlantılı olduğundan şüphelendiğini söyledi.
Üçüncü Taraf SaaS Uygulamalarının Gizli Tehlikelerini Keşfedin
Şirketinizin SaaS uygulamalarına üçüncü taraf uygulama erişimiyle ilişkili risklerin farkında mısınız? Verilen izin türleri ve riskin nasıl en aza indirileceği hakkında bilgi edinmek için web seminerimize katılın.
KOLTUĞUNUZU AYIRTIN
CrowdStrike, “Kötü amaçlı etkinlik, aktör kontrollü altyapıya işaret göndermeyi, ikinci aşama yüklerin konuşlandırılmasını ve az sayıda vakada uygulamalı klavye etkinliğini içerir” diye ekledi.
3CX’in CEO’su Nick Galea, bir forum gönderisinde önümüzdeki birkaç saat içinde yeni bir yapı yayınlama sürecinde olduğunu söyledi ve Android ve iOS sürümlerinin etkilenmediğini kaydetti. Galea, “Maalesef bu, kullandığımız bir yukarı akış kitaplığının virüs bulaşması nedeniyle oldu,” dedi ve daha fazla ayrıntı belirtmedi.
Bu arada şirket, müşterilerini uygulamayı kaldırıp yeniden yüklemeye veya alternatif olarak PWA istemcisini kullanmaya çağırıyor.