Продолжающаяся кампания троянизирует приложение 3CXDesktopApp в атаке на цепочки поставок

security

С 22 марта 2023 года SentinelOne начал наблюдать всплеск поведенческих обнаружений 3CXDesktopApp, популярного программного продукта для голосовых и видеоконференций, относящегося к категории платформ Private Automatic Branch Exchange (PABX). Троянизированный 3CXDesktopApp является первым этапом многоступенчатой цепочки атак, которая извлекает файлы ICO с данными base64 из Github и в конечном итоге приводит к DLL-библиотеке 3-го уровня. Компрометация включает сертификат подписи кода, используемый для подписи троянизированных двоичных файлов.

Indicators of Compromise

Domains

  • akamaitechcloudservices.com
  • azuredeploystore.com
  • azureonlinestorage.com
  • glcloudservice.com
  • msedgepackageinfo.com
  • msedgeupdate.net
  • msstorageazure.com
  • msstorageboxes.com
  • officeaddons.com
  • officestoragebox.com
  • pbxcloudeservices.com
  • pbxphonenetwork.com
  • pbxsources.com
  • sourceslabs.com
  • visualstudiofactory.com
  • zacharryblogs.com

URLs

  • https://akamaitechcloudservices.com/v2/storage
  • https://azuredeploystore.com/cloud/services
  • https://azureonlinestorage.com/azure/storage
  • https://github.com/IconStorages/images
  • https://glcloudservice.com/v1/console
  • https://msedgepackageinfo.com/microsoft-edge
  • https://msedgeupdate.net/Windows
  • https://msstorageazure.com/window
  • https://msstorageboxes.com/office
  • https://officeaddons.com/technologies
  • https://officestoragebox.com/api/session
  • https://pbxcloudeservices.com/phonesystem
  • https://pbxphonenetwork.com/voip
  • https://pbxsources.com/exchange
  • https://sourceslabs.com/downloads
  • https://visualstudiofactory.com/workload
  • https://www.3cx.com/blog/event-trainings/
  • https://zacharryblogs.com/feed

SHA1

  • 20d554a80d759c50d6537dd7097fed84dd258b3e
  • bf939c9c261d27ee7bb92325cc588624fca75429
  • cad1120d91b812acafef7175f949dd1b09c6c21a
Комментарии: 0