SI-CERT 2023-02 / Zloraba dobavne verige: 3CX Electron DesktopApp

Povzetek

Podjetje 3CX je izdalo varnostno opozorilo za aplikacijo 3CX Electron DesktopApp. Gre za programski telefon (softphone), katerega zlorabo so podrobneje raziskali in potrdili tudi pri podjetjih SentielOne in CrowdStrike. Gre za napad zlorabe dobavne verige, natančneje pa gre v tem primeru za namestitev škodljive programske kode – trojanskega konja tipa “information stealer” – s pomočjo uradnih, digitalno podpisanih namestitvenih paketov za omenjeno aplikacijo.

Opis

O napadih na dobavno verigo smo pisali že v zaključku leta 2020 v primeru SolarWinds. Gre za koncept napada, pri katerem napadalci preko različnih metod (najpogosteje pa družbenega inženiringa) pridobijo dostop do razvijalskih okolij proizvajalca. Tako z vrivanjem programske kode pred pakiranje le-te v namestitvene programe tudi škodljive komponente pridobijo legitimen digitalni podpis razvijalca.

V primeru namestitve aplikacije na platformi Windows gre za uporabo zlorabljenega, a digitalno podpisanega namestitvenega paketa za programski telefon 3CX DesktopApp. V postopku namestitve se izvrši prenos škodljive kode kode, ki po namestitvi aplikacije prenese naslednjo stopnjo nalagalnika škodljive programske kode iz GitHub repozitorija (ta je bil v vmesnem času že onemogočen). Gre za ICO datoteke, ki vsebujejo v base64 obliki skrita navodila za prenos naslednje stopnje škodljive programske kode. Podoben postopek okužbe je moč zaslediti tudi na platformi macOS.

Celotna veriga okužbe se zaključi s prenosom DLL datoteke, ki ima karakteristike trojanskega konja, katerega namen je kraja podatkov spletnih brskalnikov (“infostealer trojan”). Informacije zaenkrat kažejo, da gre za krajo vsaj iz brskalnikov Chrome, Edge, Brave in Firefox.

Zlorabljene različice in priporočeni ukrepi

Zlorabljene naj bi bile različice 18.12.407 in 18.12.416 (Windows) ter 18.11.1213, 18.12.402, 18.12.407 in 18.12.416 (MacOS).

V primeru nameščene aplikacije iz zlorabljenega paketa svetujemo izvedbo postopkov odzivanja na omrežne incidente.

Pripomočki pri preiskovanju

• Sigma
• Yara (avtor opozarja na možnost lažno-pozitivnih zaznav)

Indikatorji zlorabe (IoC)

Datoteke

dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc 3CXDesktopApp.exe
fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405 3CXDesktopApp.exe
92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61 3CX Desktop App (masOS)
b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb 3CX Desktop App (macOS)
aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 3cxdesktopapp-18.12.407.msi
59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 3cxdesktopapp-18.12.416.msi
5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290 3CXDesktopApp-18.11.1213.dmg
e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec 3cxdesktopapp-latest.dmg
7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896 ffmpeg.dll
a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67 libffmpeg.dylib
11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03 d3dcompiler_47.dll

Omrežni promet

akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
dunamistrd[.]com
glcloudservice[.]com
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
visualstudiofactory[.]com
zacharryblogs[.]com
https://github[.]com/IconStorages/images
https://akamaitechcloudservices[.]com/v2/storage
https://azureonlinestorage[.]com/azure/storage
https://msedgepackageinfo[.]com/microsoft-edge
https://glcloudservice[.]com/v1/console
https://pbxsources[.]com/exchange
https://msstorageazure[.]com/window
https://officestoragebox[.]com/api/session
https://visualstudiofactory[.]com/workload
https://azuredeploystore[.]com/cloud/services
https://msstorageboxes[.]com/office
https://officeaddons[.]com/technologies
https://sourceslabs[.]com/downloads
https://zacharryblogs[.]com/feed
https://pbxcloudeservices[.]com/phonesystem
https://pbxphonenetwork[.]com/voip
https://msedgeupdate[.]net/Windows

Viri

• https://www.3cx.com/blog/news/desktopapp-security-alert/
• https://www.3cx.com/community/threads/3cx-desktopapp-security-alert.119951/
• https://thehackernews.com/2023/03/3cx-desktop-app-targeted-in-supply.html
• https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/
• https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/
• https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/
• https://helpdesk.kaseya.com/hc/en-gb/articles/14143055420561-Security-Advisory-3CX-Software-Active-Campaign
• https://twitter.com/patrickwardle/status/1641294247877021696