Versi klien desktop 3CX Voice Over Internet Protocol (VOIP) yang ditandatangani secara digital dan trojan dilaporkan digunakan untuk menargetkan pelanggan perusahaan dalam serangan rantai pasokan yang sedang berlangsung.
3CX adalah perusahaan pengembangan perangkat lunak VoIP IPBX yang Sistem Telepon 3CX-nya digunakan oleh lebih dari 600.000 perusahaan di seluruh dunia dan memiliki lebih dari 12 juta pengguna setiap hari.
Itu daftar pelanggan perusahaan termasuk daftar panjang perusahaan dan organisasi terkenal seperti American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA, dan HollidayInn.
Menurut peringatan dari peneliti keamanan dari Sophos dan CrowdStrike, penyerang menargetkan pengguna Windows dan macOS dari aplikasi softphone 3CX yang disusupi.
“Aktivitas berbahaya tersebut termasuk mercusuar ke infrastruktur yang dikendalikan aktor, penyebaran muatan tahap kedua, dan, dalam sejumlah kecil kasus, aktivitas keyboard langsung,” tim intel ancaman CrowdStrike. dikatakan.
“Aktivitas pasca-eksploitasi yang paling umum diamati sampai saat ini adalah pemijahan dari shell perintah interaktif,” Sophos menambahkan dalam sebuah penasehat yang dikeluarkan melalui layanan Deteksi dan Respon Terkelola.
Sementara CrowdStrike mencurigai kelompok peretas yang didukung negara Korea Utara yang dilacaknya Labirin Kolima berada di balik serangan ini, peneliti Sophos mengatakan mereka “tidak dapat memverifikasi atribusi ini dengan keyakinan tinggi.”
Aktivitas Labyrinth Collima diketahui tumpang tindih dengan aktor ancaman lain yang dilacak sebagai Lazarus Group oleh Kaspersky, Covellite oleh Dragos, UNC4034 oleh Mandiant, Zinc oleh Microsoft, dan Nickel Academy oleh Secureworks.
Ditandai sebagai berbahaya oleh perangkat lunak keamanan
BleepingComputer menguji versi perangkat lunak yang diduga trojan, tetapi tidak dapat memicu koneksi apa pun ke domain ini.
Namun, beberapa pelanggan di forum 3CX telah menyatakan bahwa mereka telah menerima peringatan mulai satu minggu yang lalu, pada 22 Maretmengatakan bahwa aplikasi klien VoIP ditandai berbahaya oleh SentinelOne, CrowdStrikeDan ESET perangkat lunak keamanan.
Salah satu sampel klien softphone 3CX trojan bersama oleh CrowdStrike ditandatangani secara digital lebih dari tiga minggu yang lalu, pada tanggal 3 Maret 2023, dengan sertifikat 3CX Ltd yang sah yang dikeluarkan oleh DigiCert.
BleepingComputer mengonfirmasi sertifikat yang sama ini digunakan di versi perangkat lunak yang lebih lama.
Beberapa domain yang disebutkan oleh pelanggan yang coba disambungkan oleh klien desktop untuk menyertakan azureonlinestorage[.]com, msstorageboxes[.]com, dan msstorageazure[.]com.
CrowdStrike mengatakan bahwa klien desktop 3CX versi trojanisasi akan terhubung ke salah satu domain yang dikontrol penyerang berikut:
| akamaicontainer[.]com | msedgepackageinfo[.]com |
| akamaitechcloudservices[.]com | msstorageazure[.]com |
| azuredeploystore[.]com | msstorageboxes[.]com |
| azureonlinecloud[.]com | officeaddons[.]com |
| azureonlinestorage[.]com | officestoragebox[.]com |
| dunamistrd[.]com | pbxcloudeservices[.]com |
| glcloudservice[.]com | pbxphonenetwork[.]com |
| qwepoi123098[.]com | zacharryblogs[.]com |
| sbmsa[.]wiki | pbxsources[.]com |
| sourcelabs[.]com | journalide[.]org |
| visualstudiofactory[.]com |
Sementara SentinelOne mendeteksi “kerangka kerja penetrasi atau kode shell” saat menganalisis biner 3CXDesktopApp.exe dan ESET menandainya sebagai trojan “Win64/Agent.CFM”, layanan perburuan ancaman terkelola Falcon OverWatch dari CrowdStrike memperingatkan pengguna untuk menyelidiki sistem mereka untuk aktivitas berbahaya “segera. “
Meskipun anggota tim pendukung 3CX menandainya sebagai potensi positif palsu SentinelOne di salah satu utas forum yang diisi dengan laporan pelanggan pada hari Rabu, perusahaan belum mengakui masalah tersebut secara publik.
Juru bicara 3CX tidak membalas permintaan komentar saat BleepingComputer menghubungi hari ini.
