Rilevamento degli Attacchi alla Catena di Fornitura di 3CXDesktopApp: Campagna di Intrusione Attiva che Prende di Mira Milioni di Clienti 3CX
Indice:
Esperti di cybersecurity hanno scoperto una campagna avversaria in corso che sfrutta 3CXDesktopApp, un’applicazione software per la comunicazione aziendale utilizzata da 12 milioni di clienti in tutto il mondo. Secondo i rapporti, gli attori delle minacce ottengono l’accesso iniziale all’ambiente compromesso, distribuiscono payload e poi tentano di rilasciare malware di furto di informazioni in grado di dirottare le credenziali di accesso nella fase finale dell’attacco.
Rilevamento del Potenziale Compromesso 3CX 3CXDesktopApp
Per consentire alle organizzazioni di individuare tempestivamente l’attacco legato a 3CXDesktopApp, la piattaforma SOC Prime offre un lotto di regole Sigma, inclusi quelli open-source disponibili gratuitamente. Premere il Esplora le Rilevazioni pulsante qui sotto e approfondisci il set di contenuti di rilevazione accompagnato dal contesto della minaccia informatica rilevante, comprese riferimenti MITRE ATT&CK®, intelligence sulle minacce, binari eseguibili e mitigazioni per una ricerca delle minacce semplificata.
Inoltre, il team SOC Prime ha creato un pacchetto IOC gratuito per Uncoder per aiutare i professionisti della sicurezza a generare senza difficoltà query personalizzate supportate da IOC adattate alla piattaforma SIEM, EDR o XDR in uso e ottimizzare l’indagine di possibili incidenti. Premere il Ottieni Pacchetto IOC pulsante e accedi immediatamente alla raccolta di IOC pronta per essere eseguita in Uncoder.
Esplora le RilevazioniOttieni Pacchetto IOC
Analisi dell’Attacco alla Catena di Fornitura di 3CXDesktopApp
All’inizio di aprile 2023, una nuova campagna di intrusione mirata ai clienti 3CX si è fatta notare nell’arena delle minacce informatiche. Gli attaccanti hanno puntato su un popolare software 3CXDesktopApp, che è stato trojanizzato e sfruttato in un attacco alla catena di fornitura esponendo milioni di utenti globali a una minaccia grave.
Il 30 marzo, CISA ha emesso un avviso che dettaglia l’attacco in corso contro il software 3CX e i suoi utenti. Per aumentare la consapevolezza sulla sicurezza informatica, CISA ha esortato le organizzazioni globali a consultare i report corrispondenti dei fornitori di sicurezza, inclusi CrowdStrike and SentinelOne, così come l’ultima allerta di sicurezza 3CX DesktopApp per ottenere ulteriori approfondimenti sulla recente attività degli avversari osservata e identificare tempestivamente la potenziale intrusione. L’ultima allerta di 3CX ha notificato ai clienti e ai partner dell’azienda la falla di sicurezza relativa all’aggiornamento dell’app di Windows in Electron versione 7 che colpisce i clienti Windows e macOS.
3CX suggerisce che l’attività degli avversari potrebbe essere un attacco mirato multi-fase lanciato da un gruppo APT supportato da una nazione. Il team di intelligence di CrowdStrike presume che la campagna possa essere attribuita al collettivo hacker nordcoreano LABYRINTH CHOLLIMA, che potrebbe essere considerato un sottoinsieme del famigerato Lazarus Group.
Inoltre, 3CX ha informato i clienti sul lavoro in corso sulla nuova versione dell’app per Windows con un nuovo certificato. 3CX raccomanda attualmente di applicare l’app PWA basata sul web come alternativa, che non necessita di installazione o aggiornamenti e sfrutta la Sicurezza Web di Chrome per la protezione dalle minacce.
La catena di infezione è innescata dall’installazione di un file MSI su Windows e di un file DMG sulle versioni dell’app per macOS. Su Windows, l’installatore MSI carica e esegue ulteriormente un file DLL malevolo destinato a scaricare un file icona in un periodo di sonno casuale da una a quattro settimane.
Nella fase finale dell’attacco, il sistema compromesso può essere ulteriormente infettato con un info-stealer tramite side-loading DLL, che, secondo i ricercatori di SentinelOne, può rubare dati e credenziali di accesso dai browser web popolari.
Con l’attacco in corso a 3CXDesktopApp che mette a rischio di compromissione milioni di utenti globali di 3CXDesktopApp, i difensori informatici stanno cercando modi affidabili e fattibili per rispondere tempestivamente a minacce simili. Sfruttando l’ Uncoder AIdi SOC Prime, che si basa sull’intelligenza collettiva e sul potere dell’AI, i team di sicurezza possono raggiungere istantaneamente IOC rilevanti e convertirli in query di caccia ottimizzate per le prestazioni pronte per essere eseguite nel loro ambiente SIEM o EDR.
