Popüler telefon sistemi VOIP/PBX yazılımı 3CX'in trojanlaştırılmış bir versiyonu şu anda manşetlerde. İş telefonu sistemi dünya çapında 190 ülkede şirketler tarafından kullanılmaktadır. Bir Truva Atı içeren bir yükleme programı, Windows kullanıcılarına bir DLL yandan yükleme saldırısı yoluyla zorla kabul ettirilir.
Saldırının, saldırganların bir DLL yoluyla kötü niyetli, şifrelenmiş bir yükü yandan yükleyen bir masaüstü uygulama yükleyicisi eklemesine izin veren bir tedarik zinciri saldırısı olduğu görülüyor.
Telefon sistemi gizlice saldırıyor
Sophos'ta Yönetilen Tehdit Müdahalesinden Sorumlu Başkan Yardımcısı Mat Gangwer, mevcut durum hakkında şunları söyledi: "Saldırganlar, DLL yandan yükleme kullanan bir yükleyici eklemek için uygulamayı manipüle etmeyi başardılar. Kötü amaçlı, şifrelenmiş bir yük eninde sonunda bu arka kapıdan alınır. Bu taktik yeni değil, diğer saldırılarda kullanılan DLL yandan yükleme etkinliğine benziyor. Bu DLL yandan yükleme senaryosunun üç kritik bileşenini belirledik.”
Etkilenen yazılım 3CX, Windows, Linux, Android ve iOS'ta bulunan meşru bir yazılım tabanlı PBX telefon sistemidir. Şu anda yalnızca Windows sistemleri saldırıdan etkilenmiş görünüyor. Uygulama, saldırganlar tarafından çeşitli komut ve kontrol (C2) sunucularıyla iletişim kuran bir yükleyici eklemek için kötüye kullanıldı. Mevcut saldırı, Windows için yazılım telefonu masaüstü istemcisinin kötü amaçlı bir yük içeren, dijital olarak imzalanmış bir sürümüdür. Güvenlik açığından yararlanıldıktan sonra şimdiye kadar en sık gözlemlenen etkinlik, etkileşimli bir komut satırı arabiriminin (komut kabuğu) etkinleştirilmesidir.
Windows için PBX telefon sistemi
Sophos MDR, ilk olarak 29 Mart 2023'te 3CXDesktopApp'tan kendi müşterilerini hedef alan kötü amaçlı etkinlik tespit etti. Ayrıca Sophos MDR, saldırının şifrelenmiş kötü amaçlı yazılımları barındırmak için genel bir dosya deposu kullandığını belirledi. Bu depo 8 Aralık 2022'den beri kullanılmaktadır.
Matt Gangwer, "Saldırının kendisi, dikkate değer sayıda bileşenin dahil olduğu bir DLL yandan yükleme senaryosuna dayanıyor" diyor. "Bu, muhtemelen müşterilerin 3CX masaüstü paketini olağan dışı hiçbir şey fark etmeden kullanabilmelerini sağlamak içindi."
Bugüne kadar, Sophos saldırının aşağıdaki temel bileşenlerini belirlemiştir:
- 3CXDesktopApp.exe, temiz yükleyici
- d3dcompiler_47.dll, iliştirilmiş şifrelenmiş yükü olan bir DLL
- ffmpeg.dll, truva atına bulaşmış kötü amaçlı yükleyici
Ffmpeg.dll dosyası, kötü amaçlarla kodlanmış bir ICO yükünü getiren katıştırılmış bir URL içerir. Normal bir DLL yandan yükleme senaryosunda, kötü amaçlı yükleyici (ffmpeg.dll) yasal uygulamanın yerini alır; tek işlevi, yükü sıraya koymak olacaktır. Ancak bu durumda yükleyici, normalde 3CX ürününde olacağı gibi tamamen işlevseldir - DllMain işlevine yedek olarak ek bir yük enjekte edilir. Bu, paket boyutunu artırırken, 3CX uygulaması beklendiği gibi çalıştığından - truva atı C2 işaretini adreslerken bile - kullanıcıların bir şeylerin ters gittiğine dair şüphelerini azaltmış olabilir.
Görüldü, tanındı, engellendi
SophosLabs, kötü amaçlı etki alanlarını engelledi ve şu uç nokta tespitini yayınladı: Troj/Loader-AF. Ayrıca, tehditle ilişkili bilinen C2 etki alanlarının listesi engellendi. Bu, Sophos GitHub'daki IOC dosyasında daha da desteklenmektedir. Son olarak, kötü amaçlı ffmpeg.dll dosyasının itibarı düşük olarak işaretlenir.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.