Destacadas

  1. Home  »  DestacadasNoticias   »   Usuarios de 3CX bajo ataque de carga lateral de DLL: Sophos

Usuarios de 3CX bajo ataque de carga lateral de DLL: Sophos

  • 5 abril, 2023

Sophos X-Ops está siguiendo una situación en desarrollo relativa a un aparente ataque de cadena de suministro contra la aplicación 3CX Desktop, posiblemente emprendido por un grupo relacionado con el estado nacional. Sophos, proporciona una visión general de la situación, un análisis de amenazas, información para cazadores e información sobre la protección de detección.

Descripción general
El software afectado es 3CX, un sistema telefónico PBX basado en software legítimo disponible en Windows, Linux, Android e iOS. El actor de amenazas ha abusado de la aplicación para agregar un instalador que se comunica con varios servidores de comando y control (C2).

El software es una versión firmada digitalmente del cliente de escritorio softphone para Windows y está empaquetado con una carga útil maliciosa. La actividad posterior a la explotación más común observada hasta la fecha es la aparición de un shell de comandos interactivo.

En la actualidad, la única plataforma confirmada por nuestros datos de clientes que se ve afectada es Windows.

Análisis de amenazas
El 22 de marzo, los usuarios de 3CX comenzaron a discutir posibles detecciones de falsos positivos de 3CXDesktopApp por parte de sus agentes de seguridad de punto final.

Sophos MDR identificó por primera vez actividad maliciosa dirigida a sus propios clientes y que se derivó de 3CXDesktopApp el 29 de marzo de 2023. Además, Sophos MDR ha observado la campaña aprovechando un almacenamiento de archivos público para alojar malware codificado. Este repositorio ha estado en uso desde el 8 de diciembre de 2022.

El ataque gira en torno a un escenario de carga lateral de DLL, uno con un número notable de componentes involucrados. Es probable que esto garantice que los clientes puedan usar el paquete de escritorio 3CX sin notar nada inusual sobre el paquete afectado. Hasta la fecha, hemos identificado tres componentes cruciales:

• 3CXDesktopApp.exe, el cargador limpio
• d3dcompiler 47.dll, una DLL con una carga útil cifrada anexada
• ffmpeg.dll, el cargador malicioso troyanizado

El archivo ffmpeg.dll contiene una URL incrustada que recupera una carga útil .ico codificada maliciosa.
En un escenario normal de carga lateral de DLL, el cargador malicioso (ffmpeg.dll) reemplazaría la dependencia limpia; su única función sería poner en cola la carga útil. Sin embargo, en este caso, ese cargador es completamente funcional, como lo sería normalmente en el producto 3CX – en su lugar, hay una carga útil adicional insertada en la función DllMain. Esto agrega volumen, pero puede haber reducido las sospechas: La aplicación 3CX funciona como se esperaba, incluso cuando el troyano se dirige a la baliza C2.

Determinación del impacto con Sophos XDR
Determinación de si los hosts se han comunicado con la infraestructura del actor de amenazas
La siguiente consulta buscará los hosts que se han comunicado con las diversas URL conocidas en uso por esta campaña. (Las URL están ligeramente ofuscadas con corchetes, que deben eliminarse antes de ejecutar la consulta.)

También recomendamos que los usuarios del software de 3CX monitoreen los canales de comunicación de la empresa; tienen un blog y también un foro de soporte e información.

Protección de detección
SophosLabs ha bloqueado los dominios maliciosos y ha publicado la siguiente detección de endpoints:
• Troj/Loader-AF

También hemos bloqueado la lista de dominios C2 conocidos asociados con la amenaza y continuaremos agregando a esa lista en el archivo IOC en nuestro GitHub, como se mencionó anteriormente. Finalmente, el archivo ffmpeg.dll malicioso se marca como de baja reputación.

SophosLabs está investigando activamente oportunidades de detección adicionales para la actividad derivada de este software. Además, para los clientes de Sophos MDR, el equipo de ingeniería de detección MDR cuenta con una variedad de detecciones de comportamiento que detectarán la actividad de seguimiento.

Sophos mantendrá actualizado su blog con la información correspondiente, a medida que se desarrollen los eventos y la comprensión, incluida nuestra guía de detección y amenazas.
[Primera versión publicada a las 7pm PDT del 29 de marzo de 2023]

Artículos relacionados:

alianza

Sophos se asocia con Tenable para lanzar el nuevo Servicio de Gestión de Riesgos Administrados

  • 10 abril, 2024
datos

Sophos presenta su Informe sobre amenazas 2024: “Cibercrimen en Main Street”

  • 15 marzo, 2024
Partner Care

Sophos refuerza el compromiso con sus distribuidores a través de Partner Care

  • 6 marzo, 2024
Sophos EP

Sophos se posicionó como líder en el Cuadrante Mágico de Gartner 2023 de EPP

  • 18 enero, 2024

Artículos recientes

Phil Shaw, Director General para México en Uniview

Uniview ha desplegado miles de cámaras en proyectos realizados en México

  • 23 abril, 2024
Tecnosinergia Express Plus Marina Nacional

Tecnosinergia abre nueva tienda para entregas exprés y showroom en Marina Nacional

  • 22 abril, 2024
Darío Mojica, Director de Ingeniería Preventa para Latinoamérica en Motorola Solutions

Motorola Solutions lleva la analítica de video al siguiente nivel con detección de arma visible

  • 20 abril, 2024
Fanbo Meng, Director Comercial de Tiandy Technologies

Tiandy Technologies arriba a México con cámaras IP de costo asequible para sustituir tecnología análoga

  • 20 abril, 2024
Bolide Technology Exposeguridad 2024

Bolide Technology insta a los integradores a poner atención en proyectos de transporte de mercancía

  • 20 abril, 2024
SecuriTIC