Троянська версія популярної телефонної системи VOIP/PBX програмного забезпечення 3CX зараз потрапляє в заголовки газет. Система бізнес телефону використовується компаніями в 190 країнах світу. Програма інсталяції, що містить троян, нав’язується користувачам Windows за допомогою атаки з боковим завантаженням DLL.
Схоже, що ця атака була атакою на ланцюжок поставок, яка дозволила зловмисникам додати інсталятор настільної програми, який зрештою завантажив зловмисне зашифроване корисне навантаження через DLL.
Телефонна система таємно атакує
Мет Гангвер, віце-президент відділу керованого реагування на загрози в Sophos про поточну ситуацію: «Зловмисникам вдалося маніпулювати програмою, щоб додати інсталятор, який використовує бічне завантаження DLL. Саме через цей бекдор зрештою витягується зловмисне зашифроване корисне навантаження. Ця тактика не є новою, вона подібна до бокового завантаження DLL, що використовується в інших атаках. Ми визначили три критичні компоненти цього сценарію бокового завантаження DLL».
Пошкоджене програмне забезпечення 3CX – це законна телефонна система PBX на основі програмного забезпечення, доступна для Windows, Linux, Android та iOS. На даний момент атакою постраждали лише системи Windows. Зловмисники використали програму для додавання інсталятора, який взаємодіє з різними серверами керування (C2). Поточна атака — це підписана цифровим підписом версія настільного клієнта програмного телефону для Windows, яка містить зловмисне корисне навантаження. Найбільш часто спостережуваною діяльністю після використання вразливості є активація інтерактивного інтерфейсу командного рядка (командної оболонки).
Телефонна АТС для Windows
29 березня 2023 року Sophos MDR вперше виявила зловмисну активність, націлену на власних клієнтів із 3CXDesktopApp. Крім того, Sophos MDR визначила, що атака використовувала публічне сховище файлів для розміщення зашифрованого шкідливого програмного забезпечення. Це сховище використовується з 8 грудня 2022 року.
«Сама атака базується на сценарії стороннього завантаження DLL із надзвичайною кількістю залучених компонентів», — каже Метт Гангвер. «Це, ймовірно, було призначено для того, щоб клієнти могли використовувати набір 3CX для робочого столу, не помічаючи нічого незвичайного».
На сьогоднішній день Sophos визначив наступні ключові компоненти атаки:
- 3CXDesktopApp.exe, чистий завантажувач
- d3dcompiler_47.dll, DLL із приєднаним зашифрованим корисним навантаженням
- ffmpeg.dll, троянізований шкідливий завантажувач
Файл ffmpeg.dll містить вбудовану URL-адресу, яка отримує зловмисно закодовану корисну інформацію ICO. У звичайному сценарії стороннього завантаження DLL зловмисний завантажувач (ffmpeg.dll) замінить законну програму; його єдиною функцією було б поставити корисне навантаження в чергу. Однак у цьому випадку завантажувач повністю функціональний, як це було б зазвичай у продукті 3CX - додаткове корисне навантаження вводиться у функцію DllMain як заміна. Хоча це збільшує розмір пакета, це може зменшити підозри користувачів, що щось не так, оскільки програма 3CX працює належним чином, навіть коли троян звертається до маяка C2.
Побачили, впізнали, заблокували
SophosLabs заблокувала шкідливі домени та випустила таке виявлення кінцевих точок: Troj/Loader-AF. Крім того, список відомих доменів C2, пов’язаних із загрозою, було заблоковано. Це додатково доповнено у файлі IOC на Sophos GitHub. І останнє, але не менш важливе: шкідливий файл ffmpeg.dll позначено як такий, що має низьку репутацію.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.