लोकप्रिय फोन सिस्टम वीओआइपी/पीबीएक्स सॉफ्टवेयर 3सीएक्स का एक ट्रोजनाइज्ड संस्करण वर्तमान में सुर्खियां बटोर रहा है। बिजनेस फोन प्रणाली का उपयोग दुनिया भर के 190 देशों में कंपनियों द्वारा किया जाता है। एक डीएलएल साइडलोडिंग हमले के माध्यम से विंडोज उपयोगकर्ताओं पर ट्रोजन सहित एक इंस्टॉलेशन प्रोग्राम को थोपा गया है।
ऐसा प्रतीत होता है कि हमला एक आपूर्ति श्रृंखला हमला था, जिसने हमलावरों को एक डेस्कटॉप एप्लिकेशन इंस्टॉलर जोड़ने की अनुमति दी थी जो अंततः एक DLL के माध्यम से एक दुर्भावनापूर्ण, एन्क्रिप्टेड पेलोड को साइडलोड कर देता था।
फोन प्रणाली गुप्त रूप से हमला कर रही है
मैट गैंगवेर, वीपी ने वर्तमान स्थिति पर सोफोस में खतरे की प्रतिक्रिया का प्रबंधन किया: "हमलावर डीएलएल साइडलोडिंग का उपयोग करने वाले इंस्टॉलर को जोड़ने के लिए एप्लिकेशन में हेरफेर करने में कामयाब रहे। यह इस पिछले दरवाजे के माध्यम से है कि एक दुर्भावनापूर्ण, एन्क्रिप्टेड पेलोड को अंततः पुनर्प्राप्त किया जाता है। यह युक्ति नई नहीं है, यह अन्य हमलों में प्रयुक्त DLL साइडलोडिंग गतिविधि के समान है। हमने इस डीएलएल साइडलोडिंग परिदृश्य के तीन महत्वपूर्ण घटकों की पहचान की है।"
प्रभावित सॉफ़्टवेयर 3CX एक वैध सॉफ़्टवेयर-आधारित PBX फ़ोन सिस्टम है जो Windows, Linux, Android और iOS पर उपलब्ध है। वर्तमान में केवल विंडोज़ सिस्टम ही हमले से प्रभावित प्रतीत होते हैं। विभिन्न कमांड और कंट्रोल (C2) सर्वरों के साथ संचार करने वाले इंस्टॉलर को जोड़ने के लिए हमलावरों द्वारा एप्लिकेशन का दुरुपयोग किया गया था। वर्तमान हमला विंडोज के लिए सॉफ्टफोन डेस्कटॉप क्लाइंट का डिजिटल रूप से हस्ताक्षरित संस्करण है जिसमें एक दुर्भावनापूर्ण पेलोड है। भेद्यता का शोषण करने के बाद अब तक की सबसे अधिक बार देखी गई गतिविधि एक इंटरैक्टिव कमांड लाइन इंटरफ़ेस (कमांड शेल) की सक्रियता है।
विंडोज के लिए पीबीएक्स फोन सिस्टम
सोफोस एमडीआर ने पहली बार 29 मार्च, 2023 को 3CXDesktopApp से अपने ग्राहकों को लक्षित करने वाली दुर्भावनापूर्ण गतिविधि की पहचान की। इसके अलावा, सोफोस एमडीआर ने निर्धारित किया कि हमले ने एन्क्रिप्टेड मैलवेयर को होस्ट करने के लिए सार्वजनिक फ़ाइल संग्रहण का उपयोग किया। यह रिपॉजिटरी 8 दिसंबर, 2022 से उपयोग में है।
मैट गैंगवार कहते हैं, "हमला स्वयं एक डीएलएल साइडलोडिंग परिदृश्य पर आधारित है जिसमें उल्लेखनीय संख्या में घटक शामिल हैं।" "यह संभवतः यह सुनिश्चित करने के लिए किया गया था कि ग्राहक 3CX डेस्कटॉप बंडल का उपयोग सामान्य से कुछ भी नोटिस किए बिना कर सकते हैं।"
आज तक, सोफोस ने हमले के निम्नलिखित प्रमुख घटकों की पहचान की है:
- 3CXDesktopApp.exe, क्लीन लोडर
- d3dcompiler_47.dll, संलग्न एन्क्रिप्टेड पेलोड के साथ एक DLL
- ffmpeg.dll, ट्रोजनाइज्ड दुर्भावनापूर्ण लोडर
Ffmpeg.dll फ़ाइल में एक एम्बेडेड URL होता है जो एक दुर्भावनापूर्ण कोडित ICO पेलोड प्राप्त करता है। एक सामान्य DLL साइडलोडिंग परिदृश्य में, दुर्भावनापूर्ण लोडर (ffmpeg.dll) वैध एप्लिकेशन को बदल देगा; इसका एकमात्र कार्य पेलोड को पंक्तिबद्ध करना होगा। इस मामले में, हालांकि, लोडर पूरी तरह कार्यात्मक है क्योंकि यह सामान्य रूप से 3CX उत्पाद में होगा - प्रतिस्थापन के रूप में एक अतिरिक्त पेलोड को DllMain फ़ंक्शन में इंजेक्ट किया जाता है। जबकि यह पैकेट के आकार को बढ़ाता है, इसने उपयोगकर्ताओं के संदेह को कम किया हो सकता है कि कुछ गलत था, क्योंकि 3CX एप्लिकेशन अपेक्षित रूप से काम करता है - भले ही ट्रोजन C2 बीकन को संबोधित कर रहा हो।
देखा, पहचाना, अवरुद्ध
सोफोसलैब्स ने दुर्भावनापूर्ण डोमेन को अवरुद्ध कर दिया और निम्नलिखित एंडपॉइंट डिटेक्शन जारी किया: ट्रोज/लोडर-एएफ। इसके अतिरिक्त, खतरे से जुड़े ज्ञात C2 डोमेन की सूची को ब्लॉक कर दिया गया है। इसे आगे सोफोस गिटहब पर आईओसी फ़ाइल में पूरक किया गया है। अंतिम लेकिन कम से कम, दुर्भावनापूर्ण ffmpeg.dll फ़ाइल को कम प्रतिष्ठा के रूप में फ़्लैग किया गया है।
Sophos.com पर अधिक
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।