Erkennung von Lieferkettenangriffen auf 3CXDesktopApp: Aktive Einbruchkampagne zielt auf Millionen von 3CX-Kunden
Inhaltsverzeichnis:
Cybersicherheitsexperten haben eine laufende Kampagne von Gegnern aufgedeckt, die 3CXDesktopApp ausnutzen, eine Softwareanwendung für Geschäftskommunikation, die von weltweit 12 Millionen Kunden genutzt wird. Berichten zufolge erhalten Bedrohungsakteure ersten Zugang zur kompromittierten Umgebung, setzen Payloads ein und versuchen dann, im letzten Angriffsstadium informationsstehlende Malware abzuwerfen, die in der Lage ist, Anmeldedaten zu kapern.
Erkennung eines möglichen 3CX 3CXDesktopApp-Kompromittierung
Um es Organisationen zu ermöglichen, den mit 3CXDesktopApp verbundenen Angriff rechtzeitig zu erkennen, bietet die SOC Prime Plattform eine Reihe von Sigma-Regeln an, darunter auch kostenlos verfügbare Open-Source-Regeln. Klicken Sie auf Erkundigen Sie sich über Entdeckungen unten und tauchen Sie in das Erkennungsinhaltsset ein, das von relevantem Cyber-Bedrohungskontext begleitet wird, einschließlich MITRE ATT&CK®-Referenzen, Bedrohungsinformationen, ausführbare Binärdateien und Maßnahmen zur Abschwächung für eine optimierte Bedrohungsforschung.
Zusätzlich hat das SOC Prime Team ein kostenloses IOC-Paket für Uncoder erstellt, um Sicherheitsexperten bei der nahtlosen Generierung benutzerdefinierter, auf IOCs basierender Abfragen zu unterstützen, die für die verwendete SIEM-, EDR- oder XDR-Plattform maßgeschneidert sind, und die Untersuchung möglicher Vorfälle zu optimieren. Drücken Sie auf den IOC-Paket erhalten Knopf und tauchen Sie sofort in die Sammlung von IOCs ein, die bereit sind, in Uncoder ausgeführt zu werden.
Erkundigen Sie sich über EntdeckungenIOC-Paket erhalten
Analyse des 3CXDesktopApp-Lieferkettenangriffs
Anfang April 2023 kam eine neuartige Eindringungskampagne ins Rampenlicht der Cyber-Bedrohungsarena, die auf 3CX-Kunden abzielt. Angreifer haben sich den beliebten 3CXDesktopApp-Software vorgenommen, die trojanisiert und in einem Lieferkettenangriff ausgenutzt wurde, der Millionen von Benutzern weltweit einer ernsthaften Bedrohung aussetzte.
Am 30. März gab CISA eine Warnung heraus in der sie den laufenden Angriff gegen 3CX-Software und deren Benutzer detailliert beschreibt. Um das Bewusstsein für Cybersicherheit zu schärfen, hat CISA globale Organisationen aufgefordert, die entsprechenden Berichte von Sicherheitsanbietern, einschließlich CrowdStrike and SentinelOne, sowie den neuesten 3CX DesktopApp Sicherheitsalarm zu überprüfen, um mehr Einblicke in die kürzlich beobachtete Gegneraktivität zu erhalten und potenzielle Einbrüche zeitnah zu erkennen. Der letzte Alarm von 3CX informierte die Kunden und Partner des Unternehmens über die Sicherheitslücke, die mit der aktualisierten Electron Windows App v7 verbunden ist und Windows und macOS Kunden betrifft.
3CX schlägt vor, dass die Gegneraktivität möglicherweise ein gezielter Mehrphasenangriff ist, gestartet von einer nationengestützten APT-Gruppe. Das CrowdStrike Intelligence Team geht davon aus, dass die Kampagne der nordkoreanischen LABYRINTH CHOLLIMA Hacking-Kollektiv zugeordnet werden kann, das als eine Untergruppe der berüchtigten Lazarus Gruppe.
betrachtet werden könnte. Darüber hinaus hat 3CX die Kunden über die laufende Arbeit an der neuen Version der Windows App informiert, die ein neues Zertifikat enthält. 3CX empfiehlt derzeit, die alternative webbasierte PWA-App zu verwenden, die keine Installation oder Updates benötigt und die Chrome Web Security für den Bedrohungsschutz nutzt.
Die Infektionskette wird durch die Installation einer MSI-Datei auf Windows- und einer DMG-Datei auf macOS-App-Versionen ausgelöst. Auf Windows lädt und führt der MSI-Installer eine bösartige DLL-Datei aus, die darauf abzielt, eine Icon-Datei innerhalb einer zufälligen Ruhezeit von einem bis vier Wochen herunterzuladen.
Im letzten Angriffszeitraum kann das kompromittierte System durch DLL-Sideloading, das laut SentinelOne Forschern, Daten und Anmeldeinformationen von beliebten Webbrowsern stehlen kann, weiter infiziert werden.
Mit dem laufenden Angriff auf die 3CXDesktopApp, der Millionen von Nutzern weltweit in Gefahr bringt, suchen Cyberverteidiger nach zuverlässigen und effektiven Möglichkeiten, um rechtzeitig auf ähnliche Bedrohungen zu reagieren. Durch die Nutzung von SOC Primes Uncoder AI, das sich auf die kollektive Intelligenz und die Leistungsstärke der KI stützt, können Sicherheitsteams sofort relevante IOCs erreichen und diese in leistungsoptimierte Jagdabfragen umwandeln, die in ihrer SIEM- oder EDR-Umgebung ausgeführt werden können.
