3CXDesktopApp 공급망 공격 탐지: 수백만 3CX 고객을 대상으로 하는 활성 침입 캠페인

사이버 보안 전문가들은 3CXDesktopApp을 악용하는 지속적인 적대적 캠페인을 발견했습니다. 이 소프트웨어 애플리케이션은 전 세계 1200만 명의 고객이 사용하는 비즈니스 커뮤니케이션 도구입니다. 보고서에 따르면, 위협 행위자는 손상된 환경에 초기 접근을 얻은 후, 페이로드를 배포하고, 최종 공격 단계에서 로그인 자격 증명을 가로챌 수 있는 정보 탈취 악성코드를 설치하려고 시도합니다.

잠재적인 3CX 3CXDesktopApp 손상 탐지

조직이 3CXDesktopApp과 관련된 공격을 적시에 식별할 수 있도록 SOC Prime 플랫폼은 무료로 제공되는 오픈 소스 Sigma 규칙을 포함한 여러 규칙을 제공합니다. 클릭하세요 탐지 내용 보기 버튼을 클릭하고 관련 사이버 위협 컨텍스트, 포함된 MITRE ATT&CK® 참조, 위협 인텔리전스, 실행 가능한 바이너리 및 위협 연구를 위한 완화 조치를 통해 탐지 콘텐츠를 확인하세요.

또한 SOC Prime 팀은 보안 실무자가 사용 중인 SIEM, EDR 또는 XDR 플랫폼에 맞춘 맞춤형 IOC 기반 쿼리를 매끄럽게 생성하고 가능한 사고를 조사할 수 있도록 Uncoder용 무료 IOC 팩을 제작했습니다. 버튼을 누르세요 IOC 팩 가져오기 를 누르고 Uncoder에서 실행할 준비가 된 IOC 모음을 즉시 확인하세요.

탐지 내용 보기IOC 팩 가져오기

3CXDesktopApp 공급망 공격 분석

2023년 4월 초, 3CX 고객을 대상으로 하는 새로운 침입 캠페인이 사이버 위협 분야에서 주목을 받았습니다. 공격자들은 인기 있는 3CXDesktopApp 소프트웨어를 트로이화하여 수백만 명의 전 세계 사용자를 심각한 위협에 노출시키는 공급망 공격을 감행했습니다.

3월 30일, CISA는 경고를 발령했습니다 3CX 소프트웨어 및 사용자를 상대로 한 진행 중인 공격을 상세히 설명했습니다. 사이버 보안 인식을 높이기 위해, CISA는 전 세계 조직에 보안 업체, 포함된 보고서를 확인할 것을 요청했습니다. CrowdStrike and SentinelOne최신 3CX DesktopApp 보안 경고 최근 관찰된 적대적 활동에 대한 통찰력을 얻고, 잠재적 침입을 적시에 식별하려면 최신 보고서를 확인하십시오. 3CX의 후속 경고는 Windows 및 macOS 고객에게 영향을 미치는 최신 버전의 Electron Windows App v7에 관련된 보안 결함에 대해 회사의 고객 및 파트너에게 통보했습니다.

3CX는 적대적 활동이 국가 지원 APT 그룹에 의해 시작된 다단계 공격일 수 있다고 주장합니다. CrowdStrike 인텔리전스 팀은 이 캠페인이 악명 높은 Lazarus Group.

]의 하위 그룹으로 간주될 수 있는 북한의 LABYRINTH CHOLLIMA 해킹 집단에 기인할 수 있다고 추정합니다.

게다가 3CX는 고객에게 새로운 인증서와 함께 새로운 Windows 앱 버전에 대한 작업이 진행 중임을 알렸습니다. 3CX는 설치나 업데이트가 필요 없으며 위협 보호를 위해 크롬 웹 보안을 활용하는 웹 기반 PWA 앱을 현재 적용할 것을 권장합니다.

감염 체인은 Windows의 경우 MSI 파일을, macOS 앱 버전의 경우 DMG 파일을 설치함으로써 시작됩니다. Windows에서는 MSI 설치 관리자가 추가로 악성 DLL 파일을 로드하고 실행하여 1주에서 4주 사이의 임의 대기 기간 내에 아이콘 파일을 다운로드하도록 유도합니다. SentinelOne 연구원들에 따르면, 최종 공격 단계에서는 DLL 사이드 로딩을 통해 타격 받은 시스템에 정보 탈취기가 추가로 감염될 수 있으며, 이는 인기 웹 브라우저로부터 데이터와 로그인 자격 증명을 탈취할 수 있습니다.

현재 진행 중인 3CXDesktopApp 공격이 전 세계 수백만 명의 3CXDesktopApp 사용자를 손상시킬 위험이 있는 가운데, 사이버 방어자들은 이와 유사한 위협에 신속히 대응할 신뢰할 수 있고 실현 가능한 방법을 찾아야 합니다. SOC Prime의 최신 기술인 Uncoder AI는 집단적 지능과 인공지능의 힘을 활용하여 보안 팀이 관련된 IOC에 즉시 도달하고 이를 성능 최적화된 사냥 쿼리로 변환하여 SIEM 또는 EDR 환경에서 실행할 수 있도록 해줍니다.