Una versione trojanizzata del popolare software VOIP/PBX per sistemi telefonici 3CX sta attualmente facendo notizia. Il sistema telefonico aziendale è utilizzato da aziende in 190 paesi in tutto il mondo. Un programma di installazione che include un trojan viene imposto agli utenti Windows tramite un attacco di sideload DLL.
L'attacco sembra essere stato un attacco alla catena di approvvigionamento, che ha consentito agli aggressori di aggiungere un programma di installazione di applicazioni desktop che alla fine ha trasferito un payload dannoso e crittografato tramite una DLL.
Il sistema telefonico sta attaccando segretamente
Mat Gangwer, VP Managed Threat Response di Sophos sulla situazione attuale: “Gli aggressori sono riusciti a manipolare l'applicazione per aggiungere un programma di installazione che utilizza il sideloading delle DLL. È attraverso questa backdoor che alla fine viene recuperato un payload crittografato dannoso. Questa tattica non è nuova, è simile all'attività di sideloading DLL utilizzata in altri attacchi. Abbiamo identificato tre dei componenti critici di questo scenario di sideloading delle DLL.”
Il software interessato 3CX è un legittimo sistema telefonico PBX basato su software disponibile su Windows, Linux, Android e iOS. Attualmente solo i sistemi Windows sembrano essere interessati dall'attacco. L'applicazione è stata abusata dagli aggressori per aggiungere un programma di installazione che comunica con vari server di comando e controllo (C2). L'attacco attuale è una versione con firma digitale del client desktop del softphone per Windows che contiene un payload dannoso. L'attività più frequentemente osservata finora dopo aver sfruttato la vulnerabilità è l'attivazione di un'interfaccia a riga di comando interattiva (command shell).
Sistema telefonico PBX per Windows
Sophos MDR ha identificato per la prima volta attività dannose rivolte ai propri clienti provenienti da 29CXDesktopApp il 2023 marzo 3. Inoltre, Sophos MDR ha determinato che l'attacco ha utilizzato un file storage pubblico per ospitare malware crittografato. Questo repository è in uso dall'8 dicembre 2022.
"L'attacco stesso si basa su uno scenario di sideloading DLL con un notevole numero di componenti coinvolti", afferma Matt Gangwer. "Questo probabilmente aveva lo scopo di garantire che i clienti potessero utilizzare il pacchetto desktop 3CX senza notare nulla di straordinario."
Ad oggi, Sophos ha identificato i seguenti componenti chiave dell'attacco:
- 3CXDesktopApp.exe, il caricatore pulito
- d3dcompiler_47.dll, una DLL con un payload crittografato allegato
- ffmpeg.dll, il caricatore dannoso trojanizzato
Il file ffmpeg.dll contiene un URL incorporato che recupera un payload ICO codificato in modo dannoso. In un normale scenario di sideload DLL, il caricatore dannoso (ffmpeg.dll) sostituirebbe l'applicazione legittima; la sua unica funzione sarebbe quella di mettere in coda il carico utile. In questo caso, tuttavia, il caricatore è completamente funzionante come sarebbe normalmente nel prodotto 3CX: un payload aggiuntivo viene inserito nella funzione DllMain in sostituzione. Sebbene ciò aumenti la dimensione del pacchetto, potrebbe aver ridotto i sospetti degli utenti che qualcosa non andava, poiché l'applicazione 3CX funziona come previsto, anche mentre il trojan sta indirizzando il beacon C2.
Visto, riconosciuto, bloccato
I SophosLabs hanno bloccato i domini dannosi e rilasciato il seguente rilevamento degli endpoint: Troj/Loader-AF. Inoltre, l'elenco dei domini C2 noti associati alla minaccia è stato bloccato. Questo è ulteriormente integrato nel file IOC su Sophos GitHub. Ultimo ma non meno importante, il file dannoso ffmpeg.dll è contrassegnato come avente una reputazione bassa.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.