Hackers comprometieron aplicación de 3CX en un ataque a la cadena de suministro
Investigadores revelaron que una versión firmada digitalmente y troyanizada del cliente de escritorio 3CX de Voz Sobre Protocolo de Internet (VoIP) se está utilizando para apuntar a los clientes de la compañía en un ataque continuo a la cadena de suministro.
3CX es una empresa de desarrollo de software VoIP IPBX cuyo Sistema Telefónico 3CX es utilizado por más de 600,000 empresas. Asimismo, tiene más de 12 millones de usuarios diarios.
La lista de clientes de la empresa incluye una larga lista de empresas y organizaciones de alto perfil como American Express, Coca-Cola y McDonald’s. También destacan BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA y el Servicio Nacional de Salud del Reino Unido.
Según las alertas de los investigadores de seguridad de Sophos y CrowdStrike, los atacantes tienen como objetivo a los usuarios de Windows y macOS de la aplicación de softphone 3CX comprometida.
Ataque
“La actividad maliciosa incluye ataques a la infraestructura controlada por el actor, despliegue de payloads de segunda etapa y, en un pequeño número de casos, actividad práctica del teclado”.
Equipo de inteligencia de amenazas de CrowdStrike.
“La actividad posterior a la explotación más común observada hasta la fecha es la generación de un shell de comando interactivo”.
Información de Sophos en un aviso emitido a través de su servicio de Detección y Respuesta Administrada.
Si bien CrowdStrike sospecha que un grupo de hackers respaldado por el estado de Corea del Norte que han identificado como Labyrinth Collima está detrás de este ataque, los investigadores de Sophos dicen que “no pueden verificar esta atribución con mucha confianza”.
Hasta donde sabemos, la actividad de Labyrinth Collima se superpone con otros hackers identificados como Lazarus Group por Kaspersky, Covellite por Dragos, UNC4034 por Mandiant, Zinc por Microsoft y Nickel Academy por Secureworks.
“CrowdStrike tiene un proceso analítico en profundidad cuando se trata de nombrar convenciones de adversarios”.
“LABYRINTH CHOLLIMA es un subconjunto de lo que se ha descrito como Lazarus Group, que incluye otros adversarios relacionados con la RPDC, incluidos SILENT CHOLLIMA y STARDUST CHOLLIMA”.
Ataque a la cadena de suministro del software SmoothOperator
SentinelOne y Sophos también revelaron en informes publicados el jueves por la noche que la aplicación de escritorio 3CX troyanizada se está descargando en un ataque a la cadena de suministro.
Este ataque a la cadena de suministro, denominado ‘SmoothOperator’ por SentinelOne, comienza cuando se descarga el instalador MSI del sitio web de 3CX. Aunque también, en otros casos se envía una actualización a una aplicación de escritorio ya instalada.
Cuando se instala el MSI o la actualización, extrae los archivos DLL maliciosos ffmpeg.dll
y d3dcompiler_47.dll
. Estos se utilizan para realizar la siguiente etapa del ataque.
Si bien Sophos afirma que el ejecutable 3CXDesktopApp.exe no es malicioso, la DLL maliciosa ffmpeg.dll
se descarga y se usa para extraer y descifrar un payload cifrado de d3dcompiler_47.dll
.
Esta shellcode descifrada de d3dcompiler_47.dll
se ejecuta para descargar archivos de iconos alojados en GitHub. Los archivos contienen cadenas codificadas en Base64 añadidas al final de las imágenes, como se muestra a continuación.
El repositorio de GitHub donde se almacenan estos íconos muestra que el primer ícono se cargó el 7 de diciembre de 2022.
SentinelOne dice que el malware usa estas cadenas Base64 para descargar un payload final a los dispositivos comprometidos. Este es, en realidad un malware de robo de información previamente desconocido descargado como DLL.
Este nuevo malware es capaz de recopilar información del sistema y robar datos y credenciales almacenadas de los perfiles de usuario de Chrome, Edge, Brave y Firefox.
“En este momento, no podemos confirmar que el instalador de Mac tenga un troyano similar. Nuestra investigación en curso incluye aplicaciones adicionales como la extensión de Chrome que también podría usarse para organizar ataques”.
“El atacante ha registrado un conjunto de infraestructura en expansión a partir de febrero de 2022, pero aún no vemos conexiones obvias con los grupos de amenazas existentes”.
SentinelOne
Etiquetado como malicioso por software de seguridad
CrowdStrike dice que la versión troyanizada del cliente de escritorio de 3CX se conecta a uno de los siguientes dominios controlados por atacantes:
akamaicontainer[.]com | msedgepackageinfo[.]com |
akamaitechcloudservices[.]com | msstorageazure[.]com |
azuredeploystore[.]com | msstorageboxes[.]com |
azureonlinecloud[.]com | officeaddons[.]com |
azureonlinestorage[.]com | officestoragebox[.]com |
dunamistrd[.]com | pbxcloudeservices[.]com |
glcloudservice[.]com | pbxphonenetwork[.]com |
qwepoi123098[.]com | zacharryblogs[.]com |
sbmsa[.]wiki | pbxsources[.]com |
sourceslabs[.]com | journalide[.]org |
visualstudiofactory[.]com |
Algunos de los dominios mencionados por los clientes a los que el cliente de escritorio intentó conectarse incluyen azureonlinestorage[.]com
, msstorageboxes[.]com
y msstorageazure[.]com
.
Investigadores probaron una versión supuestamente troyanizada del software, pero no pudieron activar ninguna conexión a estos dominios.
Sin embargo, varios clientes en los foros de 3CX han declarado que han estado recibiendo alertas desde hace una semana, el 22 de marzo. Las alertas indican que la aplicación cliente de VoIP fue marcada como maliciosa por el software de seguridad SentinelOne, CrowdStrike , ESET , Palo Alto Networks y SonicWall .
Los clientes reportaron que las alertas de seguridad se activan después de instalar las versiones de Windows 18.12.407 y 18.12.416 de 3CXDesktopApp o la 18.11.1213 y la última versión en Mac. En una declaración posterior, 3CX confirmó que las versiones 18.11.1213, 18.12.402, 18.12.407 y 18.12.416 del cliente Mac también estaban infectadas.
Una de las muestras de cliente de softphone 3CX troyanizadas compartidas por CrowdStrike se firmó digitalmente hace más de tres semanas, el 3 de marzo de 2023, Esta fue firmada con el certificado 3CX Ltd legítimo emitido por Sectigo y con registro de tiempo de DigiCert.
Expertos pudieron confirmar que este mismo certificado se usó en versiones anteriores del software 3CX.
Más hallazgos
SentinelOne detectó el “marco de penetración o shellcode” mientras analizaba el binario de 3CXDesktopApp.exe, ESET lo etiquetó como un troyano “Win64/Agent.CFM”, Sophos como “Troj/Loader-AF” y el servicio de caza de amenazas administrado Falcon OverWatch de CrowdStrike advierte a los usuarios para investigar sus sistemas en busca de actividad maliciosa “con urgencia”.
A pesar de que los miembros del equipo de soporte de 3CX lo etiquetaron como un potencial falso positivo de SentinelOne en uno de los hilos del foro llenos de informes de clientes. En otras palabras, la compañía tardó en reconocer los problemas públicamente.
3CX confirmó que el software está comprometido
El CEO de 3CX, Nick Galea, confirmó en una publicación en el foro que la aplicación 3CX Desktop estaba comprometida para incluir malware. Como resultado, Galea recomendó a todos los clientes que desinstalaran la aplicación de escritorio y cambiaran al cliente PWA.
“Como muchos de ustedes han notado, la aplicación de escritorio 3CX tiene un malware. Afecta al cliente de Windows Electron para los clientes que ejecutan la actualización 7. Se nos informó ayer por la noche y estamos trabajando en una actualización de la aplicación de escritorio que lanzaremos en las próximas horas”.
“La mejor manera de hacerlo es desinstalar la aplicación (si estás ejecutando Windows Defender, desafortunadamente lo hará automáticamente) y luego instalarla nuevamente”.
“Vamos a analizar y emitir un informe completo más tarde hoy. En este momento solo nos estamos enfocando en la actualización”.
Galea en los foros de 3CX.
En una publicación en su blog sobre el incidente, el CISO de 3CX, Pierre Jourdan, afirma que sus aplicaciones de escritorio se vieron comprometidas debido a una biblioteca ascendente.
“El problema parece ser una de las bibliotecas integradas que compilamos en la aplicación Windows Electron a través de GIT”.
“Todavía estamos investigando el asunto para poder brindar una respuesta más profunda. Aquí hay información sobre lo que hemos hecho hasta ahora”.
Jourdan en la publicación del blog.
Sin embargo, 3CX aún tiene que compartir a qué biblioteca se refieren y si esto llevó a que su entorno de desarrollo se viera comprometido.