1 апреля компания 3CX, разработчик корпоративного сервиса для телеконференций, опубликовала сообщение о крайне серьезном инциденте. Злоумышленники взломали систему доставки обновлений клиентского программного обеспечения, в результате чего ряд клиентов компании получили вместе с легитимным ПО вредоносный довесок, подписанный официальным цифровым сертификатом. Это классическая атака на цепочку поставок, один из худших сценариев атаки на бизнес, когда вредоносное ПО непреднамеренно доставляет доверенный поставщик.
В официальном сообщении 3CX практически не приводится никаких деталей, но более подробной информацией об инциденте поделились сразу несколько команд исследователей. Практически все известные на момент публикации данные собраны в обзорной статье издания Ars Technica, краткое описание инцидента также приведено в блоге «Лаборатории Касперского». Если коротко: вряд ли организаторы атаки смогли заразить большое количество клиентов 3CX, но тем, кому не повезло, придется долго разбираться с последствиями.
Подготовка к атаке предположительно велась с февраля 2022 года — в это время были зарегистрированы доменные имена, к которым обращается вредоносное ПО. Можно предположить, что уже тогда инфраструктура 3CX была скомпрометирована. 22 марта различные защитные решения зафиксировали, что число детектов клиента для конференц-связи 3CX заметно выросло. В тот же день в Сети пользователи программного обеспечения начали жаловаться на якобы ложноположительные детекты. На самом деле защитное ПО определяло настоящий вредоносный код.
Вредоносное программное обеспечение было подписано легитимным цифровым сертификатом 3CX. Функциональность самой программы для телеконференций была сохранена. В какой-то момент после установки загружалась «лишняя» DLL-библиотека, которая расшифровывала и выполняла следующую часть полезной нагрузки. В этот код была заложена недельная пауза, после которой программа обращалась к репозиторию на Github, загружала список URL и вот уже оттуда устанавливала настоящий бэкдор. Функциональность бэкдора стандартная — кража данных из браузеров, возможность получать команды и выполнять произвольный код. По сути злоумышленникам доставался полный контроль над зараженной системой.
Выше приведено общее описание работы бэкдора под Windows. «Троянизированный» дистрибутив легитимного ПО также распространялся и для Mac OS. Подробное описание первой стадии атаки привел исследователь Патрик Уордл. Особенность этой атаки в том, что вредоносный клиент прошел процедуру «нотаризации» со стороны Apple, то есть его изучила третья сторона и не заметила в нем лишнюю функциональность.
Оценить последствия атаки пока очень сложно. Нет информации, как много клиентов 3CX успели установить вредоносный клиент или получить «доработанное» обновление. Из приведенных сторонними исследователями данных можно предположить, что окно, в течение которого с серверов 3CX раздавался вредоносный код, было достаточно небольшим — примерно одна неделя в конце марта. Компания рекомендует своим клиентам временно удалить клиент и пользоваться веб-версией сервиса. Но это решит только часть проблемы: если какому-то бизнесу не повезло и бэкдор был установлен на множество рабочих компьютеров, бороться с последствиями такой атаки будет крайне непросто.
В этой работе американских исследователей описывается инфраструктура для генерации рандомных данных, соответствующих структуре видео в формате h.264. Такой видеофаззинг помог обнаружить несколько уязвимостей в декодерах видео, например в iOS и браузере Safari.
Исследователи «Лаборатории Касперского» пишут об эксплуатации протокола IPFS (входит в состав так называемой концепции Web 3.0) для хостинга фишинговых страниц. В другом отчете приводится статистика об эволюции финансового фишинга за 2022 год. Чаще всего злоумышленники пытались украсть учетные записи в сервисе PayPal.
Издание Bleeping Computer пишет о поддельном ransomware: мошенники рассылают компаниям сообщения, в которых угрожают раскрыть якобы украденные приватные данные и требуют от «жертв» выкуп, хотя на самом деле никакого взлома и не было.
В официальном сообщении 3CX практически не приводится никаких деталей, но более подробной информацией об инциденте поделились сразу несколько команд исследователей. Практически все известные на момент публикации данные собраны в обзорной статье издания Ars Technica, краткое описание инцидента также приведено в блоге «Лаборатории Касперского». Если коротко: вряд ли организаторы атаки смогли заразить большое количество клиентов 3CX, но тем, кому не повезло, придется долго разбираться с последствиями.
Подготовка к атаке предположительно велась с февраля 2022 года — в это время были зарегистрированы доменные имена, к которым обращается вредоносное ПО. Можно предположить, что уже тогда инфраструктура 3CX была скомпрометирована. 22 марта различные защитные решения зафиксировали, что число детектов клиента для конференц-связи 3CX заметно выросло. В тот же день в Сети пользователи программного обеспечения начали жаловаться на якобы ложноположительные детекты. На самом деле защитное ПО определяло настоящий вредоносный код.
Вредоносное программное обеспечение было подписано легитимным цифровым сертификатом 3CX. Функциональность самой программы для телеконференций была сохранена. В какой-то момент после установки загружалась «лишняя» DLL-библиотека, которая расшифровывала и выполняла следующую часть полезной нагрузки. В этот код была заложена недельная пауза, после которой программа обращалась к репозиторию на Github, загружала список URL и вот уже оттуда устанавливала настоящий бэкдор. Функциональность бэкдора стандартная — кража данных из браузеров, возможность получать команды и выполнять произвольный код. По сути злоумышленникам доставался полный контроль над зараженной системой.
Выше приведено общее описание работы бэкдора под Windows. «Троянизированный» дистрибутив легитимного ПО также распространялся и для Mac OS. Подробное описание первой стадии атаки привел исследователь Патрик Уордл. Особенность этой атаки в том, что вредоносный клиент прошел процедуру «нотаризации» со стороны Apple, то есть его изучила третья сторона и не заметила в нем лишнюю функциональность.
Оценить последствия атаки пока очень сложно. Нет информации, как много клиентов 3CX успели установить вредоносный клиент или получить «доработанное» обновление. Из приведенных сторонними исследователями данных можно предположить, что окно, в течение которого с серверов 3CX раздавался вредоносный код, было достаточно небольшим — примерно одна неделя в конце марта. Компания рекомендует своим клиентам временно удалить клиент и пользоваться веб-версией сервиса. Но это решит только часть проблемы: если какому-то бизнесу не повезло и бэкдор был установлен на множество рабочих компьютеров, бороться с последствиями такой атаки будет крайне непросто.
Что еще произошло
В этой работе американских исследователей описывается инфраструктура для генерации рандомных данных, соответствующих структуре видео в формате h.264. Такой видеофаззинг помог обнаружить несколько уязвимостей в декодерах видео, например в iOS и браузере Safari.
Исследователи «Лаборатории Касперского» пишут об эксплуатации протокола IPFS (входит в состав так называемой концепции Web 3.0) для хостинга фишинговых страниц. В другом отчете приводится статистика об эволюции финансового фишинга за 2022 год. Чаще всего злоумышленники пытались украсть учетные записи в сервисе PayPal.
Издание Bleeping Computer пишет о поддельном ransomware: мошенники рассылают компаниям сообщения, в которых угрожают раскрыть якобы украденные приватные данные и требуют от «жертв» выкуп, хотя на самом деле никакого взлома и не было.
Mnemonic0
Обнаружена уязвимость в версиях клиента Electron 3СХ, которые распространяются сервером 3CX v17 Update 7 ранних билдов начиная с февраля 2023 года. Для обеспечения работы с сервером 3СХ предоставляет три клиента:
Кроссплатформенное приложение Electron APP, написанное на языке JavaScript;
Приложение для ОС Windows - Legacy Windows App;
Веб-приложение Progressive Web App.
Клиенты загружаются со страницы, которую генерирует сервер. В случае использования устаревших серверов, ссылка на новую версию клиента может отсутствовать. В 2020 году использовалась версия 3СХ сервера v16 без клиента Electron APP.
Компания 3СХ рекомендует временно удалить клиент Electron APP и воспользоваться веб-версией сервиса. Кроме того, компания предоставляет клиентскую версию Legacy Windows App v16, прошедшую аудит безопасности. Рекомендуется использовать именно эту версию до выпуска новой, прошедшей соответствующую проверку безопасности.