3CXDesktopApp Supply Chain Attack Detection: Active Intrusion Campaign Targeting Millions of 3CX Customers

[post-views]
Março 31, 2023 · 4 min de leitura
3CXDesktopApp Supply Chain Attack Detection: Active Intrusion Campaign Targeting Millions of 3CX Customers

Especialistas em cibersegurança descobriram uma campanha adversária em andamento explorando o 3CXDesktopApp, um aplicativo de software para comunicação empresarial usado por 12 milhões de clientes em todo o mundo. De acordo com os relatórios, os atores da ameaça obtêm acesso inicial ao ambiente comprometido, implantam cargas úteis e, em seguida, tentam inserir malware espião de informações capaz de sequestrar credenciais de login na etapa final do ataque.

Detectando Potencial Comprometimento do 3CX 3CXDesktopApp

Para permitir que as organizações detectem oportunamente o ataque ligado ao 3CXDesktopApp, a SOC Prime Platform oferece um lote de regras Sigma, incluindo algumas de código aberto disponíveis gratuitamente. Clique no Explorar Detecções botão abaixo e aprofundar-se no conjunto de conteúdos de detecção acompanhado pelo contexto relevante de ciberameaças, incluindo referências do MITRE ATT&CK®, inteligência de ameaças, binários executáveis e mitigação para uma pesquisa de ameaças eficiente.

Além disso, a Equipe da SOC Prime criou um pacote de IOC gratuito para o Uncoder para ajudar os profissionais de segurança a gerar, de maneira fluida, consultas personalizadas baseadas em IOC adaptadas à plataforma SIEM, EDR ou XDR em uso e otimizar a investigação de possíveis incidentes. Pressione o Obter Pacote IOC botão e aprofunde-se instantaneamente na coleção de IOCs pronta para ser executada no Uncoder.

Explorar DetecçõesObter Pacote IOC

Análise do Ataque à Cadeia de Suprimentos do 3CXDesktopApp

No início de abril de 2023, uma nova campanha de intrusão direcionada a clientes da 3CX ganhou destaque no cenário de ameaças cibernéticas. Os atacantes miraram no popular software 3CXDesktopApp, que foi trojanizado e explorado em um ataque à cadeia de suprimentos, expondo milhões de usuários globais a uma ameaça séria.

Em 30 de março, a CISA emitiu um alerta detalhando o ataque em andamento contra o software 3CX e seus usuários. Para aumentar a conscientização sobre cibersegurança, a CISA instou as organizações globais a consultar os relatórios correspondentes de fornecedores de segurança, incluindo CrowdStrike and SentinelOne, assim como o mais recente alerta de segurança do 3CX DesktopApp para obter mais insights sobre a atividade adversária recentemente observada e identificar a intrusão potencial em tempo hábil. O último alerta do 3CX notificou os clientes e parceiros da empresa sobre a falha de segurança relacionada ao App Electron Windows v7 atualizado, afetando clientes Windows e macOS.

3CX sugere que a atividade adversária pode ser um ataque em múltiplas etapas direcionado, lançado por um grupo APT apoiado por uma nação. A equipe de inteligência da CrowdStrike assume que a campanha pode ser atribuída ao coletivo de hackers norte-coreano LABYRINTH CHOLLIMA, que pode ser considerado um subconjunto do infame Grupo Lazarus.

Além disso, 3CX informou aos clientes sobre o trabalho em andamento na nova versão do aplicativo para Windows com um novo certificado. A 3CX recomenda atualmente aplicar o aplicativo PWA baseado na web alternativo, que não precisa de instalação ou atualizações e utiliza a Segurança na Web do Chrome para proteção contra ameaças.

A cadeia de infecção é desencadeada pela instalação de um arquivo MSI na versão de aplicativo para Windows e um arquivo DMG na versão para macOS. No Windows, o instalador MSI carrega e executa um arquivo DLL malicioso visando baixar um arquivo de ícone dentro de algum período de sono aleatório de uma a quatro semanas.

Na etapa final do ataque, o sistema comprometido pode ser ainda mais infectado com um infostealer via carregamento lateral de DLL, o qual, de acordo com pesquisadores da SentinelOne, pode roubar dados e credenciais de login de navegadores da web populares.

Com o ataque em andamento ao 3CXDesktopApp colocando milhões de usuários globais do 3CXDesktopApp em risco de comprometimento, os defensores cibernéticos buscam maneiras confiáveis e viáveis para responder prontamente a ameaças semelhantes. Ao aproveitar o Uncoder AIda SOC Prime, que depende da inteligência coletiva e do poder da IA, as equipes de segurança podem acessar instantaneamente IOCs relevantes e convertê-los em consultas de caça otimizadas para desempenho prontas para execução em seu ambiente SIEM ou EDR.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Veronika Telychko
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Ameaças Mais Recentes, Blog — 6 min de leitura
Detecção de Backdoor TorNet: Uma Campanha de Phishing Contínua Usa Malware PureCrypter para Descarregar Outros Cargas
Veronika Telychko