С 22 марта 2023 года SentinelOne начал наблюдать всплеск поведенческих обнаружений 3CXDesktopApp, популярного программного продукта для голосовых и видеоконференций, относящегося к категории платформ Private Automatic Branch Exchange (PABX). Троянизированный 3CXDesktopApp является первым этапом многоступенчатой цепочки атак, которая извлекает файлы ICO с данными base64 из Github и в конечном итоге приводит к DLL-библиотеке 3-го уровня. Компрометация включает сертификат подписи кода, используемый для подписи троянизированных двоичных файлов.
Indicators of Compromise
Domains
- akamaitechcloudservices.com
- azuredeploystore.com
- azureonlinestorage.com
- glcloudservice.com
- msedgepackageinfo.com
- msedgeupdate.net
- msstorageazure.com
- msstorageboxes.com
- officeaddons.com
- officestoragebox.com
- pbxcloudeservices.com
- pbxphonenetwork.com
- pbxsources.com
- sourceslabs.com
- visualstudiofactory.com
- zacharryblogs.com
URLs
- https://akamaitechcloudservices.com/v2/storage
- https://azuredeploystore.com/cloud/services
- https://azureonlinestorage.com/azure/storage
- https://github.com/IconStorages/images
- https://glcloudservice.com/v1/console
- https://msedgepackageinfo.com/microsoft-edge
- https://msedgeupdate.net/Windows
- https://msstorageazure.com/window
- https://msstorageboxes.com/office
- https://officeaddons.com/technologies
- https://officestoragebox.com/api/session
- https://pbxcloudeservices.com/phonesystem
- https://pbxphonenetwork.com/voip
- https://pbxsources.com/exchange
- https://sourceslabs.com/downloads
- https://visualstudiofactory.com/workload
- https://www.3cx.com/blog/event-trainings/
- https://zacharryblogs.com/feed
SHA1
- 20d554a80d759c50d6537dd7097fed84dd258b3e
- bf939c9c261d27ee7bb92325cc588624fca75429
- cad1120d91b812acafef7175f949dd1b09c6c21a