В отчете, подготовленном отделом безопасности Google Mandiant, группа хакеров из Северной Кореи указана как наиболее вероятный источник атаки на цепочку поставок программного телефона, созданного 3CX.
Атака возникла в конце марта, когда программы безопасности SentinelOne и CrowdStrike заблокировали работу программного обеспечения.
В то время SentinelOne заявила, что «троянизированное приложение 3CXDesktopApp является первым этапом в многоэтапной цепочке атак, которая извлекает файлы ICO с добавленными данными base64 из GitHub и в конечном итоге приводит к тому, что на момент написания статьи DLL-библиотека информационного кражи третьего этапа все еще анализируется. ».
3CX предупредила пользователей о необходимости удалить десктопную версию и перейти на веб-версию, а также попросила Mandiant выяснить, что произошло.
Генеральный директор Ник Галеа теперь подробно описал первоначальные результаты работы Mandiant.
Согласно Galea, Mandiant приписал атаку «кластеру UNC4736».
«Mandiant с высокой степенью уверенности оценивает, что UNC4736 имеет связь с Северной Кореей».
По словам Галеа, системы Windows были атакованы с помощью загрузчика под названием TAXHAUL, а атаки на MacOS использовали бэкдор под названием SIMPLESEA, который Mandiant все еще изучает.
Атаки Windows были устойчивыми за счет боковой загрузки DLL, а домены управления и контроля, которые использовало вредоносное ПО, включали azureonlinecloud.[.]com, акамайконтейнер[.]ком, журнал[.]org и msboxonline[.]ком.
В отдельный постGalea также пообещала обновление программного обеспечения 3CX только для обеспечения безопасности.
По его словам, выпуск обновления для контроля качества ожидается на этой неделе, а альфа- и бета-версии — на следующей неделе до того, как он станет общедоступным.
Функции безопасности обновления будут включать хеширование всех паролей для входа в Интернет, чтобы удалить к ним доступ администратора; удаление информации о безопасности, включая пароли, из приветственного письма; и доступ веб-администратора будет ограничен IP-адресом.
Несмотря на то, что для настольного клиента будет выпущено обновление, 3CX по-прежнему рекомендует пользователям отдавать предпочтение веб-приложению.
Читать полную новость на сайте
