3CX桌面应用程序供应链攻击使数百万人处于危险之中

3CX表示，在多家网络安全供应商发出警报后，它正在为其桌面应用程序进行软件更新，因为这似乎是一种活跃的供应链攻击，该攻击使用流行的语音和视频会议软件的数字签名和操纵安装程序来瞄准下游客户。

“木马化的3CX桌面应用程序是多阶段攻击链中的第一阶段，该攻击链从GitHub提取附加了Base64数据的ICO文件，并最终导致第三阶段的信息窃取DLL，”SentinelOne研究人员说。

这家网络安全公司正在跟踪名为SmoothOperator的活动，称威胁行为者早在2022年2月就注册了一个大规模的攻击基础设施。

3CX是3CXDesktopApp背后的公司，声称在190个国家/地区拥有超过600,000名客户和1200万用户，其中包括美国运通、宝马、本田、宜家、百事可乐和丰田等知名品牌。

虽然3CX PBX客户端可用于多个平台，但Sophos引用遥测数据指出，目前观察到的攻击仅限于PBX电话系统的Windows Electron客户端。

简而言之，感染链利用DLL侧面加载技术加载流氓 DLL(ffmpeg.dll)，该DLL旨在检索图标文件(ICO)负载。托管该文件的GitHub存储库已被删除。

信息窃取器能够收集存储在Google Chrome、Microsoft Edge、Brave和Mozilla Firefox浏览器中的系统信息和敏感数据。

网络安全公司CrowdStrike表示，它怀疑这次袭击与它追踪的朝鲜民族国家APT Labyrinth Chollima（又名Nickel Academy）有关，这是臭名昭著的Lazarus Group的一个子集群。

CrowdStrike补充说：“恶意活动包括向攻击者控制的基础设施发送信标、部署第二阶段有效载荷，以及在少数情况下的手动键盘活动。”

在论坛帖子中，3CX的首席执行官Nick Galea表示，它正在接下来的几个小时内发布新版本，并指出Android和iOS版本不受影响。“不幸的是，这是因为我们使用的上游库被感染了，”Galea说，但没有具体说明更多细节。

在此期间，该公司敦促其客户卸载该应用程序并重新安装，或者使用PWA客户端。

3CX在后续更新中表示，“问题似乎是我们通过git编译到Windows Electron应用程序中的捆绑库之一”，并且正在进一步调查此事。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5497.html