Logo
Hamburger Menu Icon
Yoroi Background

Supply Chain Attack ai danni di 3CX – Client desktop App

03/31/2023

CERT Yoroi informa che a partire dalla giornata del 29/03/2023 è emersa la notizia della compromissione dell’applicativo desktop di 3CX VoIP, che ha scaturito un Supply Chain Attack.

L’applicativo, seppur disponibile all’interno del sito web legittimo di 3CX, risulta contenere malware: una volta scaricato ed installato, farà partire in modo autonomo l’aggiornamento di se stesso, creando file malevoli durante l’update ed infine connessioni a numerosi domini di Comand and Control presenti in una repository protetta in GitHub, la quale risulta essere stata tempestivamente eliminata dalla piattaforma stessa, privando quindi connessioni e conseguente chiusura positiva della chain d’infezione.

In modo più specifico, si sottolinea la compromissione di due librerie usate dall’applicativo 3CX che permettono il follow-up dell’infezione:

  • ffmpeg.dll
  • d3dcompiler_47.dll

La chain di attacco si compone quindi nel seguente modo:

  1. Compromissione dell’applicativo 3CX
  2. Comparsa dell’eseguibile “Updates.exe” con parent process l’applicativo desktop 3CX
  3. Chiamata della dll “ffmpeg.dll” che richiama a sua volta la seconda dll menzionata: d3dcompiler_47.dll e ne estrae il payload
  4. Viene decriptato il payload della seconda .dll che scarica un nuovo PE
  5. Il payload contenuto nel PE, atteso un tempo di 7 giorni, provoca una connessione dall’host infetto verso un repository di GitHub contenente 16 file .ico: ogni file .ico contenuto in essa possiede un base64 alla fine, che decriptato rivela altri dati al suo interno criptati in algoritmo AES, che decriptati a loro volta, rivelano gli URL dei domini delle C2

Versioni affette:

Windows:

  • 3cxdesktopapp-18.12.407.msi
  • 3cxdesktopapp-18.12.416.msi

Mac:

  • 3CXDesktopApp-18.11.1213.dmg

In appendice al presente bollettino CERT-Yoroi condivide gli indicatori per tale campagna.

Al momento, la miglior mitigazione è quella di passare al client web di 3CX che non risulta essere compromessa (come anche quella disponibile per dispositivi mobili) e di disinstallare il prima possibile 3CX in caso sia presente una delle versioni affette. In caso invece ci siano versioni pregresse, non si incorre nel pericolo di infezione.

A questo proposito Yoroi suggerisce di seguire le remediation poste dall’azienda 3CX in attesa di release nuova, patchata e potenzialmente safe.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index

Indicatori di Compromissione

  • Hash:
    • 11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03
    • 210c9882eba94198274ebc787fe8c88311af24932832a7fe1f1ca0261f815c3d
    • 2487b4e3c950d56fb15316245b3c51fbd70717838f6f82f32db2efcc4d9da6de
    • 268d4e399dbbb42ee1cd64d0da72c57214ac987efbb509c46cc57ea6b214beca
    • 2c9957ea04d033d68b769f333a48e228c32bcf26bd98e51310efd48e80c1789f
    • 4e08e4ffc699e0a1de4a5225a0b4920933fbb9cf123cde33e1674fde6d61444f
    • 5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290
    • 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983
    • 7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896
    • 7c55c3dfa373b6b342390938029cb76ef31f609d9a07780772c6010a4297e321
    • 8c0b7d90f14c55d4f1d0f17e0242efd78fd4ed0c344ac6469611ec72defa6b2d
    • 92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61
    • a541e5fc421c358e0a2b07bf4771e897fb5a617998aa4876e0e1baa5fbb8e25c
    • a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67
    • aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868
    • aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973
    • b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb
    • c13d49ed325dec9551906bafb6de9ec947e5ff936e7e40877feb2ba4bb176396
    • c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02
    • c62dce8a77d777774e059cf1720d77c47b97d97c3b0cf43ade5d96bf724639bd
    • d0f1984b4fe896d0024533510ce22d71e05b20bad74d53fae158dc752a65782e
    • d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090
    • d51a790d187439ce030cf763237e992e9196e9aa41797a94956681b6279d1b9a
    • dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc
    • e059c8c8b01d6f3af32257fc2b6fe188d5f4359c308b3684b1e0db2071c3425c
    • e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec
    • f1bf4078141d7ccb4f82e3f4f1c3571ee6dd79b5335eb0e0464f877e6e6e3182
    • f47c883f59a4802514c57680de3f41f690871e26f250c6e890651ba71027e4d3
    • fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405
    • fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7
  • Network IoCs:
    • akamaicontainer[.]com
    • akamaitechcloudservices[.]com
    • azuredeploystore[.]com
    • azureonlinecloud[.]com
    • azureonlinestorage[.]com
    • dunamistrd[.]com
    • glcloudservice[.]com
    • journalide[.]org
    • msedgepackageinfo[.]com
    • msstorageazure[.]com
    • msstorageboxes[.]com
    • officeaddons[.]com
    • officestoragebox[.]com
    • pbxcloudeservices[.]com
    • pbxphonenetwork[.]com
    • pbxsources[.]com
    • qwepoi123098[.]com
    • sbmsa[.]wiki
    • sourceslabs[.]com
    • visualstudiofactory[.]com
    • zacharryblogs[.]com
    • raw.githubusercontent[.]com/IconStorages/images/main/

Riferimenti di terze parti

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram