Redazione RHC : 30 Marzo 2023 17:10
Gli analisti di CrowdStrike e SentinelOne hanno scoperto attività dannose inaspettate in una versione firmata dell’app desktop 3CX VoIP. Apparentemente, c’è stato un attacco alla catena di approvvigionamento e ora l’applicazione 3CX viene utilizzata per attaccare milioni di clienti dell’azienda.
3CX è uno sviluppatore di soluzioni VoIP il cui sistema telefonico 3CX è utilizzato da più di 600.000 aziende in tutto il mondo, con più di 12.000.000 di utenti giornalieri. L’elenco dei clienti dell’azienda comprende giganti come American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA e HollidayInn.
Secondo gli esperti di sicurezza delle informazioni, gli aggressori attaccano gli utenti di un softphone compromesso sia su Windows che su macOS.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
“L’attività dannosa include l’impianto di un beacon che comunica con l’infrastruttura degli aggressori, l’implementazione di un payload di seconda fase e, in un numero limitato di casi, l’attività manuale dei criminali informatici”, afferma CrowdStrike.
Gli specialisti di Sophos aggiungono che dopo lo sfruttamento, gli aggressori creano principalmente shell di comando interattive nei sistemi della vittima.
Mentre gli analisti di CrowdStrike sospettano che dietro l’attacco ci sia il gruppo di hacker nordcoreano Labyrinth Collima, i ricercatori di Sophos affermano di “non poter stabilire un’attribuzione con un ragionevole grado di certezza”.
L’attività di Labyrinth Collima di solito si sovrappone ad altri gruppi che vengono tracciati sotto i nomi di Lazarus Group da Kaspersky Lab, Covellite dagli esperti di Dragos, UNC4034 dagli esperti di Mandiant, Zinc da Microsoft e Nickel Academy dagli analisti di Secureworks.
SentinelOne ha definito l’attacco alla catena di approvvigionamento SmoothOperator. L’azienda scrive che l’attacco inizia quando il programma di installazione MSI viene scaricato dal sito Web 3CX o quando viene scaricato un aggiornamento per un’applicazione desktop già installata.
L’installazione di un MSI o di un aggiornamento estrae i file DLL dannosi ffmpeg.dll e d3dcompiler_47.dll, che vengono utilizzati per la fase successiva dell’attacco.
Sebbene Sophos affermi che l’eseguibile 3CXDesktopApp.exe in sé non è dannoso, la DLL dannosa ffmpeg.dll verrà caricata e utilizzata per estrarre il payload crittografato da d3dcompiler_47.dll ed eseguirlo.
Successivamente, il malware scaricherà i file delle icone ospitati su GitHub, che contengono stringhe con codifica base64 aggiunte alla fine dei file immagine, come mostrato nell’esempio seguente.
Il repository GitHub che contiene queste icone mostra che il primo file è stato caricato il 7 dicembre 2022.
Le stringhe base64 menzionate vengono utilizzate per fornire il payload ai dispositivi compromessi. Questo malware è in grado di raccogliere informazioni di sistema, oltre a rubare accessi e password salvati dai profili nei browser Chrome, Edge, Brave e Firefox.
“Al momento non siamo in grado di confermare che il programma di installazione del Mac sia trojanizzato. La nostra attuale indagine include applicazioni aggiuntive, inclusa un’estensione di Chrome, che possono essere utilizzate anche per gli attacchi”, scrivono gli esperti. “Gli aggressori hanno costruito una vasta infrastruttura dal febbraio 2022, ma non vediamo ancora collegamenti evidenti a cluster di minacce noti”.
CrowdStrike segnala che una versione dannosa del client 3CX si connetterà a uno dei seguenti domini controllati dagli aggressori.
RedazioneNegli ultimi anni, la cybersecurity ha visto emergere minacce sempre più sofisticate, capaci di compromettere dispositivi e dati personali senza che l’utente compia alcuna azione. Tra ques...
Sygnia segnala che il vettore di attacco iniziale di Fire Ant CVE-2023-34048, sfrutta la vulnerabilità di scrittura fuori dai limiti nell’implementazione del protocollo DCERPC di vCenter S...
Il gruppo Scattered Spider ha intensificato i suoi attacchi agli ambienti IT aziendali, prendendo di mira gli hypervisor VMware ESXi di aziende statunitensi nei settori della vendita al dettaglio, dei...
Telegram ha introdotto un bot ufficiale progettato per verificare l’età degli utenti scansionando i loro volti. Come sottolineato da Code Durov, la funzione è disponibile nel Regno Un...
le piante infestanti, se non vengono estirpate dalle radici rinasceranno, molto più vigorose di prima. Questo è il cybercrime e questa è la nuova rinascita, la quinta in assoluto dalle ...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
