Атака через цепочку поставок на клиентов 3CX

В новостях появились сообщения о новой массовой атаке через цепочку поставок, целью которой являются пользователи системы VoIP-телефонии 3СX. Неизвестным злоумышленникам удалось заразить одноименное приложение для звонков через Интернет, причем троянизированы, по всей видимости, были клиенты не только для Windows, но и для macOS. Теперь через вредоносную программу, подписанную валидным сертификатом 3СX, преступники атакуют ее пользователей, а это более 600 000 компаний, в списке которых можно встретить достаточно известные бренды из разных стран (American Express, BMW, AirFrance, Toyota, IKEA). Среди ряда исследователей эта вредоносная атака уже получила название SmoothOperator.

По всей видимости, угрозу представляют версии программы, выпущенные после 3 марта, то есть билды 18.12.407 и 18.12.416 для Windows, 18.11.1213 и старше — для macOS. По словам представителей 3СX, зловред попал в программу из-за использования командой разработчиков троянизированного open source компонента.

Как действует атака через троянизированное ПО 3CX

Ссылаясь на исследователей из разных компаний, журналисты BleepingComputer описывают механизм атаки через клиент для Windows следующим образом:

• Пользователь загружает с официального сайта компании установочный пакет и запускает его или получает обновление для уже установленной программы.
• После установки троянизированная программа создает несколько вредоносных библиотек, которые используются для следующего этапа атаки.
• Затем зловред скачивает размещенные на сайте GitHub файлы формата .ICO, в которых спрятаны дополнительные строки данных.
• Далее эти строки используются для скачивания финальной вредоносной нагрузки, которая, собственно, и используется для атак на различные компании.

Механизм атаки на пользователей macOS несколько отличается. Его подробное описание можно найти на сайте исследователей из Objective-See.

За чем охотятся злоумышленники

Скачиваемый зловред умеет собирать сведения о системе, а также воровать информацию и сохраненные учетные данные из профилей пользователей таких браузеров как Chrome, Edge, Brave и Firefox. Кроме того, злоумышленники могут развернуть интерактивную командную оболочку, которая в теории позволяет сделать с компьютером жертвы практически что угодно.

Эксперты «Лаборатории Касперского» тщательно исследовали бэкдор, используемый злоумышленниками в качестве финальной вредоносной нагрузки. Бэкдор получил название Gopuram. Согласно анализу экспертов он применяется преимущественно в атаках на компании, имеющие отношение к криптовалютам. По ряду признаков за атакой стоит группировка Lazarus. Подробности работы бэкдора Gopuram, наряду с индикаторами компрометации, можно найти в посте на блоге Securelist.

Почему данная атака особенно опасна

По данным издания BleepingComputer, троянизированная версия программы подписана легитимным сертификатом 3CX Ltd, выпущенным компанией Sectigo. И это тот же самый сертификат, который использовался в более ранних версиях программы 3CX.

Более того, по информации тех же Objective-See, версия зловреда для macOS не только подписана валидным сертификатом, но и заверена Apple! А это значит, что свежие версии macOS разрешают ее запуск.

Что делать, чтобы оставаться в безопасности

Разработчики приложения рекомендуют срочно удалить троянизированные версии программы и до выхода обновления использовать веб-клиент VoIP.

Чтобы удостовериться в том, что злоумышленники не успели похозяйничать в компьютерах вашей компании, разумно провести тщательное расследование. Ну а в целом, чтобы контролировать происходящее в корпоративной сети и своевременно выявлять вредоносную активность, мы рекомендуем использовать сервисы класса Managed Detection and Response (MDR).