29 марта появилось несколько сообщений о том, что легитимный подписанный файл от поставщика решений VoIP/IP PBX 3CX (3CXDesktop App) был заражен трояном в результате компрометации на уровне кода. Это последняя громкая атака на цепочки поставок, начиная с SolarWinds и Kaseya несколько лет назад. Этой проблеме присвоен номер CVE-2023-29059.
3CXDesktop App - это многоплатформенное приложение софтфона для настольных компьютеров (Linux, MacOS и Windows). Приложение 3CXDesktop App позволяет пользователям взаимодействовать через чат, обмен сообщениями, видео и голос. Первоначальные сообщения предполагали, что все платформы приложения 3CXDesktop App были взломаны. Но на момент написания статьи, похоже, что затронуты только версии Electron framework для MacOS (версии 18.11.1213, 18.12.402, 18.12.407 и 18.12.416) и Windows (версии 18.12.407 и 18.12.416) приложения 3CX Desktop App. Компания 3CX заявила, что работает над новой версией приложения для Windows и отозвала сертификат для предыдущей версии. Первоначально возникла некоторая путаница относительно того, затронута ли версия для MacOS, поскольку генеральный директор 3CX сделал заявление, что затронута только версия приложения для Windows. Однако позже это заявление было опровергнуто. На момент написания статьи о доступности версии для MacOS ничего не сообщалось.
На сайте компании сообщается, что 3CX доступен в более чем 190 странах мира, имеет более 12 миллионов ежедневных пользователей и базу из 600 000 клиентов. Среди компаний, перечисленных на сайте, - известные автомобильные, аэрокосмические, финансовые, пищевые, правительственные, гостиничные и производственные организации.
Троянское приложение 3CX Desktop App является частью многоступенчатой атаки, в которой используется вредоносная DLL-библиотека (ffmpeg. dll - SHA256: 7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896), которая содержит инструкции и полезную нагрузку внутри другой DLL через зашифрованный блоб (d3dcompiler_47. dll - SHA256: 11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03). В этом блобе также содержится шеллкод, который пытается получить ICO-файлы с GitHub (в настоящее время не работает), содержащие различные URI для загрузки, где полезная нагрузка в конечном итоге загружается и устанавливается в целевое окружение. Однако мы не смогли подтвердить дальнейшие подробности, поскольку репозиторий в настоящее время не работает.
Indicators of Compromise
Domains
- akamaicontainer.com
- akamaitechcloudservices.com
- azuredeploystore.com
- azureonlinecloud.com
- azureonlinestorage.com
- convieneonline.com
- dunamistrd.com
- glcloudservice.com
- journalide.org
- msedgepackageinfo.com
- msstorageazure.com
- msstorageboxes.com
- officeaddons.com
- officestoragebox.com
- pbxcloudeservices.com
- pbxphonenetwork.com
- pbxsources.com
- qwepoi123098.com
- sbmsa.wiki
- sourceslabs.com
- Soyoungjun.com
- visualstudiofactory.com
- zacharryblogs.com
SHA256
- 11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03
- 5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290
- 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983
- 7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896
- 92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61
- aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868
- aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973
- b5e318240401010e4453e146e3e67464dd625cfef9cd51c5015d68550ee8cc09
- b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb
- c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02
- e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec