Активная компания направленная на клиентов 3CX

security

Корпорации Майкрософт известно о сообщениях третьих сторон о компрометации клавиатуры, установленной с помощью приложения 3CXDesktopApp. Microsoft подтвердила вредоносную активность и C2-коммуникации, исходящие от этого приложения, и будет обновлять информацию по мере поступления дополнительных сведений.


29 марта 2023 года CrowdStrike обнаружила  вредоносную активность, исходящую из легитимного, подписанного двоичного файла 3CXDesktopApp - приложения для софтфона от 3CX. Вредоносная активность включает в себя маячки на инфраструктуру, контролируемую агентом, развертывание полезной нагрузки на втором этапе и, в небольшом количестве случаев, работу с клавиатурой.

Приложение 3CXDesktopApp доступно для Windows, macOS, Linux и мобильных устройств.

Indicators of Compromise

Domains

  • akamaicontainer.com
  • akamaitechcloudservices.com
  • azuredeploystore.com
  • azureonlinecloud.com
  • azureonlinestorage.com
  • dunamistrd.com
  • glcloudservice.com
  • journalide.org
  • msedgepackageinfo.com
  • msstorageazure.com
  • msstorageboxes.com
  • officeaddons.com
  • officestoragebox.com
  • pbxcloudeservices.com
  • pbxphonenetwork.com
  • pbxsources.com
  • qwepoi123098.com
  • sbmsa.wiki
  • sourceslabs.com
  • visualstudiofactory.com
  • zacharryblogs.com

SHA256

  • 5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290
  • 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983
  • 92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61
  • aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868
  • b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb
  • dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc
  • e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec
  • fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405
Комментарии: 0