Attacco alla catena di approvvigionamento dell’app 3CX VoIP: cosa sappiamo finora

Gli analisti di CrowdStrike e SentinelOne  hanno scoperto attività dannose inaspettate in una versione firmata dell’app desktop 3CX VoIP. Apparentemente, c’è stato un attacco alla catena di approvvigionamento e ora l’applicazione 3CX viene utilizzata per attaccare milioni di clienti dell’azienda.

3CX è uno sviluppatore di soluzioni VoIP il cui sistema telefonico 3CX è utilizzato da più di 600.000 aziende in tutto il mondo, con più di 12.000.000 di utenti giornalieri. L’elenco dei clienti dell’azienda comprende giganti come American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA e HollidayInn.

Secondo gli esperti di sicurezza delle informazioni, gli aggressori attaccano gli utenti di un softphone compromesso sia su Windows che su macOS.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

“L’attività dannosa include l’impianto di un beacon che comunica con l’infrastruttura degli aggressori, l’implementazione di un payload di seconda fase e, in un numero limitato di casi, l’attività manuale dei criminali informatici”, afferma CrowdStrike.

Gli specialisti di Sophos  aggiungono che dopo lo sfruttamento, gli aggressori creano principalmente shell di comando interattive nei sistemi della vittima.

Mentre gli analisti di CrowdStrike sospettano che dietro l’attacco ci sia il gruppo di hacker nordcoreano Labyrinth Collima, i ricercatori di Sophos affermano di “non poter stabilire un’attribuzione con un ragionevole grado di certezza”.

L’attività di Labyrinth Collima di solito si sovrappone ad altri gruppi che vengono tracciati sotto i nomi di Lazarus Group da Kaspersky Lab, Covellite dagli esperti di Dragos, UNC4034 dagli esperti di Mandiant, Zinc da Microsoft e Nickel Academy dagli analisti di Secureworks.

SentinelOne ha definito l’attacco alla catena di approvvigionamento SmoothOperator. L’azienda scrive che l’attacco inizia quando il programma di installazione MSI viene scaricato dal sito Web 3CX o quando viene scaricato un aggiornamento per un’applicazione desktop già installata.

L’installazione di un MSI o di un aggiornamento estrae i file DLL dannosi ffmpeg.dll e d3dcompiler_47.dll, che vengono utilizzati per la fase successiva dell’attacco. 

Sebbene Sophos affermi che l’eseguibile 3CXDesktopApp.exe in sé non è dannoso, la DLL dannosa ffmpeg.dll verrà caricata e utilizzata per estrarre il payload crittografato da d3dcompiler_47.dll ed eseguirlo.

Successivamente, il malware scaricherà i file delle icone ospitati su GitHub, che contengono stringhe con codifica base64 aggiunte alla fine dei file immagine, come mostrato nell’esempio seguente.

Il repository GitHub che contiene queste icone mostra che il primo file è stato caricato il 7 dicembre 2022.

Le stringhe base64 menzionate vengono utilizzate per fornire il payload ai dispositivi compromessi. Questo malware è in grado di raccogliere informazioni di sistema, oltre a rubare accessi e password salvati dai profili nei browser Chrome, Edge, Brave e Firefox.

“Al momento non siamo in grado di confermare che il programma di installazione del Mac sia trojanizzato. La nostra attuale indagine include applicazioni aggiuntive, inclusa un’estensione di Chrome, che possono essere utilizzate anche per gli attacchi”, scrivono gli esperti. “Gli aggressori hanno costruito una vasta infrastruttura dal febbraio 2022, ma non vediamo ancora collegamenti evidenti a cluster di minacce noti”.

CrowdStrike segnala che una versione dannosa del client 3CX si connetterà a uno dei seguenti domini controllati dagli aggressori.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli