3CXDesktopAppサプライチェーン攻撃の検出：数百万の3CX顧客を狙うアクティブな侵入キャンペーン

サイバーセキュリティの専門家は、世界中の1,200万人の顧客が使用するビジネスコミュニケーション用ソフトウェアアプリケーションである3CXDesktopAppを悪用する継続中の敵対キャンペーンを発見しました。報告によると、脅威アクターは初期アクセスを得て、ペイロードを展開した後に、最終攻撃段階でログイン資格情報を乗っ取る能力を持つ情報盗難のマルウェアを落とす試みをしています。

3CX 3CXDesktopAppのコンプロマイズの可能性の検出

3CXDesktopAppに関連する攻撃をタイムリーに検出するために、SOC Prime Platformは、無料で利用可能なオープンソースを含むSigmaルールのバッチを提供しています。以下の 検出を探る ボタンを押して、関連するサイバー脅威コンテキストを伴った検出コンテンツセットに移動してください。これには MITRE ATT&CK®の参照、脅威インテリジェンス、実行可能なバイナリ、および合理化された脅威調査のための緩和策が含まれています。

さらに、SOC Primeチームは、使用中のSIEM、EDR、またはXDRプラットフォームに合わせてカスタムIOCバッキングクエリをシームレスに生成し、可能性のあるインシデントの調査を合理化するために、Uncoderのための無料のIOCパックを作成しました。 IOCパック取得 ボタンを押して、Uncoderで実行可能なIOCコレクションにすぐにアクセスしてください。

検出を探るIOCパック取得

3CXDesktopAppサプライチェーン攻撃解析

2023年4月の変わり目に、3CXの顧客をターゲットにした新しい侵入キャンペーンがサイバー脅威の場で注目を集めました。攻撃者は、トロイ化され、サプライチェーン攻撃で数百万のグローバルユーザーを深刻な脅威にさらす人気のある3CXDesktopAppソフトウェアに目を付けました。

3月30日に、 CISAが警告を発出しました 3CXソフトウェアとそのユーザーに対する継続的な攻撃を詳述しています。サイバーセキュリティ意識を高めるために、CISAは、 CrowdStrike and を含むセキュリティベンダーの対応するレポートを確認するように世界中の組織に求めました。また、最も新しい 3CX DesktopAppのセキュリティ警告 を確認して最近観察された敵対行為を深く理解し、潜在的な侵入をタイムリーに特定してください。3CXからのこのセキュリティ警告は、WindowsとmacOSの顧客に影響を与えるElectron Windows App v7の更新に関連するセキュリティの欠陥について、同社の顧客とパートナーに通知しました。

3CXは、敵対行為が国家後援のAPTグループによって開始された複数段階の攻撃である可能性があると示唆しています。CrowdStrikeインテリジェンスチームは、このキャンペーンが悪名高い ラザルスグループ.

のサブセットと見なされる北朝鮮のLABYRINTH CHOLLIMAハッキング集団に帰属する可能性があると考えています。

さらに、3CXは顧客に対し、新しい証明書を伴う新しいWindows Appバージョンの作業中であることを通知しました。3CXは、インストールまたは更新を必要とせず、脅威保護のためにChrome Web Securityを利用する代替のWebベースのPWAアプリの現在の適用を推奨しています。

感染チェーンは、WindowsでMSIファイルをインストールし、macOSアプリバージョンでDMGファイルをインストールすることで開始されます。Windowsでは、MSIインストーラーがマルウェアDLLファイルをさらにロードして実行し、一から四週間のランダムなスリープ期間の後にアイコンファイルをダウンロードすることを目的としています。 SentinelOneの研究者によれば、DLLサイドローディングを介してさらに感染させることで人気のあるWebブラウザからデータとログイン資格情報を盗むことができます。

3CXDesktopAppの継続中の攻撃が数百万のグローバルユーザーを危険にさらしているため、サイバー防御者は類似した脅威にタイムリーに対応するための信頼できる実現可能な方法を模索しています。SOC Primeの Uncoder AIを活用することにより、集団インテリジェンスとAIの力に依存して、セキュリティチームはパフォーマンス最適化された狩猟クエリに変換できる関連するIOCに即座にアクセスし、SIEMまたはEDR環境で実行可能にします。