Un attacco alla catena di approvvigionamento ha preso di mira il programma di installazione per una versione specifica del client desktop voce e video over IP 3CX, con conseguente installazione di malware dopo che gli utenti hanno scaricato ed eseguito il file binario interessato.
Indice degli argomenti
3CX, attacco supply chain, compromesso il file di installazione
La campagna è iniziata la scorsa settimana e i software di sicurezza di CrowdStrike hanno iniziato a rilevare attività insolite generate dai binari 3CX firmati, segnali che hanno portato i ricercatori a indagare.
Ciò che hanno scoperto è un apparente attacco alla catena di approvvigionamento che coinvolge un’ampia gamma di domini e altre infrastrutture e potrebbe avere gravi conseguenze per i clienti dell’azienda.
Il prodotto preso di mira, 3CX appunto, è un “centralino” VoIP tra i più utilizzati e implementati aziendalmente, a livello globale. 3CX ha 600.000 aziende clienti e 12 milioni di utenti giornalieri. L’entità dell’attacco non è ancora nota. L’azienda stessa ha annunciato che il proprio client desktop era stato rilevato da attori malevoli e ha iniziato a diffondere malware dopo un attacco alla catena di approvvigionamento.
La società ha confermato l’incidente sul proprio sito Web e sul forum della comunità.
Cosa è successo a 3CX
Dalle analisi è emerso che gli attaccanti stessero lavorando a questo attacco già da febbraio 2022, benché il primo tentativo messo in atto venga fatto risalire al 22 marzo appena passato.
Nelle versioni Windows è stata notata l’intercettazione di DLL con malware su GitHub sotto forma di file infostealer ICO. Sotto Mac OS, un malware sconosciuto viene estratto dal server nel quale si trova.
Nonostante l’attribuzione non sia ancora un dato di fatto consolidato, è interessante notare che l’attacco è stato attribuito con grande certezza da CrowdStrike a Labyrinth Chollima, un sottogruppo del più noto gruppo criminale Lazarus.
Apparentemente, gli operatori nordcoreani hanno deciso di distogliere la mente dai furti di criptovalute di alto profilo e passare ad una ulteriore tipologia di attacco: lo spionaggio cyber.
“Il problema sembra essere una delle librerie in bundle che abbiamo compilato nell’app Windows Electron tramite GIT”, ha affermato Pierre Jourdan, CISO di 3CX.
La DLL sembra essere un infostealer precedentemente sconosciuto destinato a interfacciarsi con i dati del browser, probabilmente nel tentativo di consentire operazioni future mentre gli aggressori cercano di diffondere l’attacco, cercando il maggior numero di dispositivi vulnerabili per conquistarne l’accesso.
La fase finale dell’attacco implementa dunque la funzionalità di infostealer, inclusa la raccolta di informazioni di sistema e informazioni sul browser da parte di Chrome, Edge, Brave e Firefox. Ciò include l’interrogazione della cronologia di navigazione sia per i browser basati su Firefox che per i browser basati su Chrome.
Soluzioni di mitigazione del rischio
Attualmente tutti i sistemi antivirus rilevano la minaccia e segnalano 3CXDesktopApp come malware, eliminandolo e talvolta disinstallando quando già presente sul sistema della vittima.
Anche i domini che il malware contatta per scaricare altro codice malevolo oppure per le funzionalità C2 (comando e controllo) che servono all’infostealer di comunicare con gli operatori che stanno dietro la campagna criminale, sono stato segnalati e ormai praticamente tutti bloccati e non più disponibili.
Jourdan di 3CX ha affermato che la società sta lavorando a una nuova versione Windows dell’app e ha suggerito che i clienti interessati utilizzino l’app PWA anziché l’app Windows.
Vale a dire che per il momento l’unica mitigazione possibile, è evitare l’utilizzo della app desktop. Quindi per adoperare il servizio è bene, finché non si risolverà con una nuova applicazione aggiornata, utilizzare la versione Web dell’applicazione, senza nessuna installazione standalone sul sistema client, ma utilizzabile appunto, interamente via Web dal proprio browser.
Le versioni di 3CX interessate dal problema sono quelle Windows: 18.12.407 e 18.12.416; e per Mac OS: 18.11.1213, 18.12.402, 18.12.407 e 18.12.416.
