Дослідники безпеки виявили шахрайську підробку популярного програмного забезпечення 3CX Desktop, включаючи шкідливе програмне забезпечення або троянську програму, систему телефонії, засновану на відкритих стандартах. Ви можете використовувати його для здійснення дзвінків прямо на робочому столі за допомогою гарнітури.
Виявлена версія трояна містить шкідливий DLL-файл, який замінює оригінальний файл, який постачається разом із безпечною версією програми. Коли підроблена програма завантажується, підписана 3CX DesktopApp виконує шкідливу DLL як частину попередньо визначеної процедури виконання. Таким чином, нешкідлива популярна програма VoIP стала повноцінним шкідливим програмним забезпеченням, яке підключається до сторонніх серверів і здатне запускати зловмисне програмне забезпечення другого етапу, таким чином самостійно завантажуючи шкідливе програмне забезпечення на комп’ютер. Згідно з висновками експертів, його вже багато разів несвідомо завантажували.
Багатофункціональний інструмент
3CXDesktopApp — це настільний клієнт для системи Voice over IP (VoIP) 3CX. Додаток дозволяє користувачам спілкуватися всередині та за межами компанії за допомогою комп’ютера чи ноутбука. Програма може записувати дзвінки, увімкнути відеоконференції та може використовуватися в операційних системах Windows, macOS і Linux, а також на хмарних платформах. Це інструмент, який використовують компанії, коли вони мають гібридну або розподілену робочу силу. Клієнтами є державні постачальники послуг, такі як Департамент охорони здоров’я Великобританії, а також великі корпорації, зокрема Coca-Cola, Ikea та Honda. Це класична атака на ланцюг поставок, хоча на момент написання статті немає доказів порушення вихідного коду 3CXDesktopApp. Ніхто не очікував, що додаток буде оснащено шкідливим імплантатом.
Атака на ланцюг поставок
Лотем Фінкельштейн, директор відділу аналізу та дослідження загроз у Check Point, про поточну загрозу: «Це класична атака на ланцюг поставок, призначена для використання довірчих відносин між організацією та зовнішніми сторонами, включаючи партнерство з постачальниками або використання програмного забезпечення від третіх сторін. сторони, на які певним чином покладається більшість підприємств. Цей випадок нагадує нам про важливість перевірки наших ділових партнерів. Лише запитання про те, що вони роблять для кібербезпеки вашої організації, може обмежити ризик вашої організації, оскільки суб’єкти загроз скомпрометують організацію, а потім просуваються вгору по ланцюжку постачання.
Спеціальне шкідливе програмне забезпечення
Зловмисники постійно вдосконалюють свої методи атак, дедалі менше покладаючись на використання спеціального шкідливого програмного забезпечення, а натомість покладаючись на інструменти без сигнатур. Вони використовують вбудовані функції операційної системи, уже встановлені на машині цільового користувача, і використовують загальні інструменти керування ІТ, які викликають менше підозр у разі виявлення. Також часто використовуються інструменти комерційного пентестування та червоної команди. Хоча це не нове явище, те, що раніше було рідкісним і зарезервованим лише для досвідчених акторів, тепер є широко поширеною технікою, яку використовують усі загрозливі актори. Заглядаючи вперед, важливо, щоб ми віддали пріоритет консолідованому, комплексному та спільному підходу до безпеки, який захищає наші мережі від постійно мінливого кіберландшафту».
Користувачі Check Point можуть зітхнути спокійно: усі вразливості програмного забезпечення та сигнатури атак, виявлені або виявлені Check Point Research, як і ця троянська версія оригінальної настільної програми 3CX, негайно перенаправляються до ThreatCloud, головного мозку всіх продуктів Check Point, який поширює відповідні захисні заходи для всіх продуктів Check-Point. Це означає, що всі клієнти Check Point одразу захищені без виправлення. Ось що сталося в цьому випадку: як тільки було повідомлено про троянську версію клієнта 3CXDesktopApp, усі відповідні засоби захисту були інтегровані в усі продукти Check Point.
Більше на Checkpoint.com
Про КПП Check Point Software Technologies GmbH (www.checkpoint.com/de) є провідним постачальником рішень кібербезпеки для державних адміністрацій і компаній у всьому світі. Рішення захищають клієнтів від кібератак за допомогою найкращого в галузі рівня виявлення шкідливих програм, програм-вимагачів та інших типів атак. Check Point пропонує багаторівневу архітектуру безпеки, яка захищає корпоративну інформацію в хмарі, мережі та на мобільних пристроях, а також найповнішу та інтуїтивно зрозумілу систему керування безпекою «одна точка контролю». Check Point захищає понад 100.000 XNUMX компаній різного розміру.
Статті по темі