Vulnerabilidade crítica do Jenkins expõe servidores a ataques RCE
Apple corrige primeira vulnerabilidade 0day explorado em ataques deste ano
Golpe do amor: como identificar e se proteger
Criminosos estão usando o YouTube para espalhar malwares
11 milhões de servidores SSH estão vulneráveis ao Terrapin

Tech Security

Hackers comprometem o aplicativo de desktop 3CX em um ataque à cadeia de suprimentos

Hackers comprometem o aplicativo de desktop 3CX em um ataque à cadeia de suprimentos
redator Informativo
2 0
Read Time:4 Minute, 41 Second

Uma versão digitalmente assinada e trojanizada do cliente de desktop 3CX Voice Over Internet Protocol (VOIP) está sendo usada para atingir os clientes da empresa em um ataque contínuo à cadeia de suprimentos(supply chain attack). 3CX é uma empresa de desenvolvimento de software VoIP IPBX cujo sistema telefônico 3CX é usado por mais de 600.000 empresas em todo o mundo e tem mais de 12 milhões de usuários diários. A lista de clientes da empresa inclui uma longa lista de empresas e organizações de alto nível, como American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA e HollidayInn.

Ataque a cadeia de suprimentos (supply chain attack)

Supply chain attack, ou ataque à cadeia de suprimentos, é um tipo de ataque cibernético que visa comprometer uma cadeia de fornecedores ou terceiros confiáveis ​​que fornecem serviços ou produtos a uma organização. O objetivo é explorar a confiança nas relações entre fornecedor e consumidor para infiltrar malware ou outras ameaças na rede de uma organização sem ser detectado. Isso pode permitir que os atacantes obtenham acesso não autorizado a sistemas e dados críticos e causem danos significativos.

Sobre o ataque

De acordo com alertas de pesquisadores de segurança da Sophos e CrowdStrike, os invasores têm como alvo usuários de Windows e macOS do aplicativo de softphone 3CX comprometido. “A atividade maliciosa inclui comunicação com central de controle por operador, implantação de segundo estágio de infecção, em um pequeno número de casos, monitoramento de teclas (keylogger)”, disse a equipe de inteligência de ameaças da CrowdStrike. “A atividade pós-exploração mais comum observada até o momento é a geração de um shell de comando interativo”, acrescentou a Sophos em um comunicado emitido por meio de seu serviço de Detecção e Resposta Gerenciada. Embora a CrowdStrike suspeite que um grupo de hackers apoiado pelo estado norte-coreano que rastreia como Labyrinth Collima está por trás desse ataque, os pesquisadores da Sophos dizem que “não podem verificar essa atribuição com alta confiança”. Sabe-se que a atividade do Labyrinth Collima se sobrepõe a outros atores de ameaças rastreados como Lazarus Group.

Ataque à cadeia de suprimentos do software

Esse ataque à cadeia de suprimentos, apelidado de ‘SmoothOperator’ pelo SentinelOne, começa quando o instalador MSI é baixado do site da 3CX ou uma atualização é enviada para um aplicativo de desktop já instalado.

Update instalando os arquivos maliciosos (fonte: Sophos)

Quando o MSI ou atualização é instalado, ele extrai os arquivos DLL maliciosos ffmpeg.dll [VirusTotal] e d3dcompiler_47.dll [VirusTotal], que são usados para executar a próxima etapa do ataque. Embora a Sophos declare que o executável 3CXDesktopApp.exe não é malicioso, a DLL maliciosa ffmpeg.dll será carregada e usada para extrair uma carga criptografada de d3dcompiler_47.dll e executá-la. O SentinelOne explica que o malware agora fará o download de arquivos de ícone hospedados no GitHub que contêm strings codificadas em Base64 anexadas ao final das imagens, conforme mostrado abaixo.

Base64 anexada ao final do ícone (fonte: BleepingComputer)

O repositório GitHub onde esses ícones estão armazenados mostra que o primeiro ícone foi carregado em 7 de dezembro de 2022. O malware de primeiro estágio usa essas strings Base64 para baixar uma carga final para os dispositivos comprometidos, um malware de roubo de informações anteriormente desconhecido baixado como uma DLL. Esse novo malware é capaz de coletar informações do sistema e roubar dados e credenciais armazenadas dos perfis de usuário do Chrome, Edge, Brave e Firefox. “Neste momento, não podemos confirmar que o instalador do Mac tenha trojanizado da mesma forma. Nossa investigação em andamento inclui aplicativos adicionais, como a extensão do Chrome, que também podem ser usados para preparar ataques”, disse o SentinelOne. “O operador do malware registrou um amplo conjunto de infraestrutura a partir de fevereiro de 2022, mas ainda não vemos conexões óbvias com os clusters de ameaças existentes”.

Dados roubados pelo malware (fonte: SentinelOne)

Como se proteger

Os cyber ataques de supply chain são uma ameaça crescente e preocupante para empresas e organizações em todo o mundo. Eles podem ter impactos devastadores, não só na própria organização, mas também em seus clientes e parceiros. Para se proteger contra esses tipos de ataques, é importante adotar uma abordagem de segurança proativa e implementar medidas preventivas robustas. Algumas dicas são:

  • Faça uma avaliação detalhada da cadeia de suprimentos: Conhecer bem sua cadeia de suprimentos é crucial para identificar vulnerabilidades e possíveis pontos de entrada para os cibercriminosos.
  • Certifique-se de realizar uma análise de risco completa, identificando quaisquer riscos potenciais e implementando medidas de segurança adequadas para reduzir esses riscos.
  • Implemente controles de segurança robustos: É importante implementar controles de segurança em todas as partes da cadeia de suprimentos, desde a seleção de fornecedores confiáveis até a verificação regular de seus sistemas e aplicativos de segurança.
  • Certifique-se de que todos os fornecedores que lidam com dados confidenciais sigam as melhores práticas de segurança de TI.
  • Mantenha-se atualizado com as últimas ameaças: O cibercrime está em constante evolução, com novas ameaças emergindo a todo momento.
  • Fique atento a notícias e informações sobre ameaças atuais, e esteja preparado para implementar medidas de segurança adicionais conforme necessário.

IOC’s

URLgithub[.]com/IconStorages/images
Emailcliego.garcia@proton[.]me
Emailphilip.je@proton[.]me
SHA-1cad1120d91b812acafef7175f949dd1b09c6c21a
SHA-1bf939c9c261d27ee7bb92325cc588624fca75429
SHA-120d554a80d759c50d6537dd7097fed84dd258b3e
URIhttps://www.3cx[.]com/blog/event-trainings/
URIhttps://akamaitechcloudservices[.]com/v2/storage
URIhttps://azureonlinestorage[.]com/azure/storage
URIhttps://msedgepackageinfo[.]com/microsoft-edge
URIhttps://glcloudservice[.]com/v1/console
URIhttps://pbxsources[.]com/exchange
URIhttps://msstorageazure[.]com/window
URIhttps://officestoragebox[.]com/api/session
URIhttps://visualstudiofactory[.]com/workload
URIhttps://azuredeploystore[.]com/cloud/services
URIhttps://msstorageboxes[.]com/office
URIhttps://officeaddons[.]com/technologies
URIhttps://sourceslabs[.]com/downloads
URIhttps://zacharryblogs[.]com/feed
URIhttps://pbxcloudeservices[.]com/phonesystem
URIhttps://pbxphonenetwork[.]com/voip
URIhttps://msedgeupdate[.]net/Windows

About Post Author

redator

redator@techsecurity.com.br
Happy
Happy
0 %
Sad
Sad
0 %
Excited
Excited
0 %
Sleepy
Sleepy
0 %
Angry
Angry
0 %
Surprise
Surprise
0 %

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%
(Add your review)

Deixe comentário

Seu endereço de e-mail não será publicado. Os campos necessários são marcados com *.