Корпорации Майкрософт известно о сообщениях третьих сторон о компрометации клавиатуры, установленной с помощью приложения 3CXDesktopApp. Microsoft подтвердила вредоносную активность и C2-коммуникации, исходящие от этого приложения, и будет обновлять информацию по мере поступления дополнительных сведений.
29 марта 2023 года CrowdStrike обнаружила вредоносную активность, исходящую из легитимного, подписанного двоичного файла 3CXDesktopApp - приложения для софтфона от 3CX. Вредоносная активность включает в себя маячки на инфраструктуру, контролируемую агентом, развертывание полезной нагрузки на втором этапе и, в небольшом количестве случаев, работу с клавиатурой.
Приложение 3CXDesktopApp доступно для Windows, macOS, Linux и мобильных устройств.
Indicators of Compromise
Domains
- akamaicontainer.com
- akamaitechcloudservices.com
- azuredeploystore.com
- azureonlinecloud.com
- azureonlinestorage.com
- dunamistrd.com
- glcloudservice.com
- journalide.org
- msedgepackageinfo.com
- msstorageazure.com
- msstorageboxes.com
- officeaddons.com
- officestoragebox.com
- pbxcloudeservices.com
- pbxphonenetwork.com
- pbxsources.com
- qwepoi123098.com
- sbmsa.wiki
- sourceslabs.com
- visualstudiofactory.com
- zacharryblogs.com
SHA256
- 5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290
- 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983
- 92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61
- aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868
- b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb
- dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc
- e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec
- fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405