H VoIP υπηρεσία της 3CX έχει παραβιαστεί, εκθέτοντας έτσι ορισμένες από τις μεγαλύτερες εταιρείες παγκοσμίως

Ερευνητές στον τομέα της κυβερνοασφάλειας προειδοποίησαν για απειλητικούς παράγοντες που κάνουν κατάχρηση ενός κενού ασφαλείας σε μια υπηρεσία εταιρίας VoIP που χρησιμοποιείται από ορισμένες από τις μεγαλύτερες εταιρίες παγκοσμίως.

Πολλές εταιρείες κυβερνοασφάλειας έχουν κρούσει τον κώδωνα του κινδύνου για την 3CX, συμπεριλαμβανομένης της Sophos, και της CrowdStrike, λέγοντας ότι οι απειλητικοί φορείς στοχεύουν ενεργά τους χρήστες των παραβιασμένων εφαρμογών της 3CX τόσο στα Windows όσο και στο macOS.

Η πλατφόρμα VoIP από την 3CX έχει περισσότερους από 600.000 πελάτες και περισσότερους από 12 εκατομμύρια καθημερινούς χρήστες, σύμφωνα με έκθεση του BleepingComputer, με πελάτες όπως η American Express, η Coca-Cola, η McDonald's, η BMW και πολλοί άλλοι. 

Οι ευάλωτες εκδόσεις της εφαρμογής 3CXDesktop App περιλαμβάνουν τις 18.12.407 και 18.12.416 για Windows και 18.11.1213 για macOS. Ένας από τους trojanized clients υπογράφηκε ψηφιακά στις αρχές Μαρτίου, με ένα νόμιμο πιστοποιητικό της 3CX που εκδόθηκε από την DigiCert, όπως διαπίστωσε η δημοσίευση.

"Η κακόβουλη δραστηριότητα περιλαμβάνει beaconing σε υποδομές που ελέγχονται από τους δράστες, ανάπτυξη ωφέλιμων φορτίων δεύτερου σταδίου και, σε μικρό αριθμό περιπτώσεων, δραστηριότητα πληκτρολογίου", αναφέρει η CrowdStrike. "Η πιο συνηθισμένη δραστηριότητα μετά την εκμετάλλευση που έχει παρατηρηθεί μέχρι σήμερα είναι η δημιουργία ενός διαδραστικού κελύφους εντολών (command shell)", αναφέρει η έκθεση της Sophos.

Μια άλλη εταιρεία κυβερνοασφάλειας, η SentinelOne, πρόσθεσε ότι το κακόβουλο λογισμικό είναι ικανό να κλέψει πληροφορίες συστήματος, καθώς και δεδομένα που είναι αποθηκευμένα στα προγράμματα περιήγησης Chrome, Edge, Brave και Firefox. Αυτά συχνά περιλαμβάνουν στοιχεία σύνδεσης και πληροφορίες πληρωμής.

Ενώ οι ερευνητές δεν μπορούν να καταλήξουν σε συναίνεση σχετικά με την ταυτότητα των επιτιθέμενων, η CrowdStrike υποψιάζεται την Labyrinth Collima, μια ομάδα χάκερ που χρηματοδοτείται από το κράτος της Βόρειας Κορέας.

"Η Labyrinth Collima είναι ένα υποσύνολο αυτού που έχει περιγραφεί ως Lazarus Group (@DEADLAZARUS), το οποίο περιλαμβάνει άλλους αντιπάλους που συνδέονται με τη Λαϊκή Δημοκρατία της Βόρειας Κορέας, συμπεριλαμβανομένων των Silent Chollima και Stardust Chollima ".

Η εταιρεία αναγνώρισε την επίθεση μέσω μιας δημοσίευσης στο ιστολόγιό της και επιβεβαίωσε ότι εργάζεται πάνω σε μια διόρθωση:

"Με λύπη μας ενημερώνουμε τους συνεργάτες και τους πελάτες μας ότι η εφαρμογή Electron Windows App που παραδόθηκε με την ενημέρωση 7, με αριθμούς έκδοσης 18.12.407 & 18.12.416, περιλαμβάνει ένα πρόβλημα ασφαλείας. Οι πωλητές Anti Virus έχουν επισημάνει το εκτελέσιμο αρχείο 3CXDesktopApp.exe και σε πολλές περιπτώσεις το απεγκαθιστούν", αναφέρεται στην ανακοίνωση. "Το πρόβλημα φαίνεται να αφορά μία από τις βιβλιοθήκες που συνοδεύουν το πακέτο και τις οποίες μεταγλωττίσαμε στην εφαρμογή Windows Electron App μέσω του GIT. Εξακολουθούμε να ερευνούμε το θέμα για να είμαστε σε θέση να δώσουμε μια πιο εμπεριστατωμένη απάντηση αργότερα σήμερα. Εν τω μεταξύ, ζητάμε συγγνώμη για ό,τι συνέβη και θα κάνουμε ό,τι περνάει από το χέρι μας για να επανορθώσουμε αυτό το σφάλμα".