3CX를 해킹한 진행 중인 공급망 공격은 3CX VoIP(Voice Over Internet Protocol) 데스크탑 클라이언트의 디지털 서명 및 트로이목마 변종을 사용하여 회사의 고객을 대상으로 하는 것으로 알려져 있습니다.
3CX 전화 시스템은 전 세계적으로 600,000개 이상의 기업에서 사용되고 있으며 일일 사용자는 1,200만 명 이상입니다. 3CX는 VoIP IPBX 소프트웨어 개발 회사입니다.
American Express, Coca-Cola, McDonald’s, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA 및 영국의 National Health Service를 포함한 수많은 유명 기업 및 기관이 회사의 고객입니다(경고를 게시한 사람). 목요일에).
Sophos와 CrowdStrike의 보안 연구원은 공격자가 Windows 및 macOS를 실행하는 3CX 소프트폰 소프트웨어 사용자를 공격 대상으로 삼고 있다고 보고했습니다.
CrowdStrike의 위협 인텔 팀은 “악의적인 활동에는 행위자가 제어하는 인프라에 대한 비커닝, 2단계 페이로드 배포, 소수의 경우 키보드 조작 활동이 포함됩니다.”라고 말했습니다.
“지금까지 관찰된 가장 일반적인 악용 후 활동은 대화형 명령 셸의 생성입니다.”라고 Sophos의 관리형 탐지 및 대응 서비스도 경고했습니다.
Sophos 전문가들은 “이 속성을 높은 신뢰도로 검증할 수 없다”고 주장하지만 CrowdStrike는 공격이 북한 정부의 지원을 받는 Labyrinth Collima 해킹 조직에 의해 수행된 것으로 보고 있습니다. CrowdStrike의 주장은 아직 확인되지 않았지만 많은 3CX 사용자를 걱정합니다. 최근 이러한 우려스러운 해킹 뉴스가 불꽃을 일으켰습니다. Linus Tech Tips가 YouTube에서 해킹당했습니다.
Labyrinth Collima의 행동은 Kaspersky의 Lazarus Group, Dragos의 Covellite, Mandiant의 UNC4034, Microsoft의 Zinc, Secureworks의 Nickel Academy와 같은 다른 위협 행위자와 중복되는 것으로 알려져 있습니다.
공급망 공격에서 3CX는 어떻게 해킹되었습니까?
지난 목요일 저녁에 발표된 보고서에서 SentinelOne과 Sophos는 트로이목마가 포함된 3CX 데스크톱 프로그램이 공급망 공격의 일부로 다운로드되고 있다고 밝혔습니다.
SentinelOne은 이 공급망 공격을 “SmoothOperator”라고 불렀습니다. 3CX 웹 사이트에서 MSI 설치 프로그램을 다운로드하거나 이미 설정된 데스크톱 응용 프로그램에 대한 업데이트가 발행되면 시작됩니다.
악성 DLL 파일 ffmpeg.dll [VirusTotal] 및 d3dcompiler 47.dll [VirusTotal] MSI 또는 업데이트가 설치될 때 추출되어 공격의 다음 단계를 수행하는 데 활용됩니다.
악성 ffmpeg.dll DLL이 사이드로드되어 d3dcompiler 47.dll에서 암호화된 페이로드를 추출하고 해독하는 데 사용되더라도 Sophos는 3CXDesktopApp.exe 실행 파일이 악성이 아니라고 주장합니다.
이미지 끝에 추가된 Base64 인코딩 텍스트를 포함하는 GitHub에 저장된 아이콘 파일을 다운로드하기 위해 d3dcompiler 47.dll에서 이 암호화된 쉘코드가 수행됩니다.
이 아이콘은 GitHub 저장소에 보관되며, 이는 첫 번째 아이콘이 2022년 12월 7일에 게시되었음을 나타냅니다.
SentinelOne에 따르면 이 악성코드는 이러한 Base64 문자열을 사용하여 감염된 장치에서 정보를 훔치는 알 수 없는 DLL인 최종 페이로드를 다운로드합니다.
Chrome, Edge, Brave 및 Firefox의 사용자 프로필에는 이 새로운 맬웨어가 훔칠 수 있는 데이터 및 자격 증명과 시스템 정보가 포함될 수 있습니다.
“현재로서는 Mac 설치 프로그램이 유사하게 트로이목마에 감염되었는지 확인할 수 없습니다. 현재 진행 중인 조사에는 공격 준비에도 사용될 수 있는 Chrome 확장 프로그램과 같은 추가 애플리케이션이 포함되어 있습니다.”라고 SentinelOne은 말했습니다.
한편, 3CX CEO인 Nick Galea는 목요일 아침 포럼 게시물에서 3CX 데스크톱 프로그램에 악성코드가 삽입되었다고 밝혔습니다. Galea는 모든 사용자에게 데스크톱 응용 프로그램을 제거하고 결과적으로 PWA 클라이언트로 전환할 것을 권장합니다.
“많은 분들이 3CX DesktopApp에 맬웨어가 있음을 알아차리셨을 것입니다. 업데이트 7을 실행하는 고객의 Windows Electron 클라이언트에 영향을 미칩니다. 어제 밤에 보고되었으며 앞으로 몇 시간 안에 출시할 DesktopApp 업데이트 작업을 하고 있습니다.”라고 Galea는 3CX 포럼에서 공유했습니다.
