据说3 cx桌面应用Windows和macOS在袭击供应链妥协
![网络曝光警报:3 cx桌面应用程序为Windows和macOS据说妥协在供应链的攻击](http://www.yyueer.com/sites/default/files/images/articles/Blog-Research-CEA-Critical-Max-Quality_1.jpg)
软电话桌面应用程序从3 cx,制造商使用的一个流行的解决方案的网络电话交换机600000多个组织,据报道已经trojanized作为供应链的一部分,攻击。cve - 2023 - 29059被分配这个问题在3月30日。
更新3月30日# 4:这个博客已经更新,以反映一个版本的可用性检查插件的3 cx包含恶意软件的桌面应用程序,一个更新版本的3 cx DesktopApp Windows和macOS CVE标识符(CVE - 2023 - 29059)分配供应链上的这个问题,澄清攻击和民族国家的联系。
背景
下面的报告软件由3 cx——开发人员的一个流行的互联网协议语音(VoIP)专用小交换机(PBX)电话系统-是妥协的“积极入侵活动”针对3 cx客户,成立安全响应团队(SRT)准备了这个常见问题(FAQ)博客详细我们知道攻击到目前为止。这篇博客的信息是当前截至3月29日。可以跟踪其他出版后更改下面的更新日志。
常见问题解答
3 cx发生了什么事?
3月29日文章在CrowdStrike subreddit显示3 cx桌面应用程序,一个软电话客户端为Windows和Mac,妥协和trojanized。
我们知道哪个版本的3 cx桌面应用程序是脆弱?
3月29日,根据被研究人员,公开共享以下版本的3 cx桌面应用程序被认为是影响:
操作系统 | 版本 | 文件名 | SHA256(安装程序) |
---|---|---|---|
窗户 | 18.12.407 | 3 cxdesktopapp-18.12.407.msi | aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 |
窗户 | 18.12.416 | 3 cxdesktopapp-18.12.416.msi | 59 e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 |
macOS | 18.11.1213 | 3 cxdesktopapp-18.11.1213.dmg | 5407年cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290 |
macOS | 最新的 | 3 cxdesktopapp-latest.dmg | e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec |
3月30日,3 cx CISO皮埃尔约旦发表了一篇博文,列出额外trojanized 3 cx macOS的桌面应用程序版本:
- 18.12.402
- 18.12.407
- 18.12.416
这些trojanized版本的3 cx桌面应用程序做什么?
研究人员报告,trojanized应用程序已经观察到:
- 连接与威胁参与者相关基础设施
- 检索和部署”阶段的有效载荷
- Hands-on-keyboard活动(有限的情况下)
根据新披露的研究到攻击,第二阶段的载荷似乎是托管在一个公共GitHub库已经被移除。
图片来源:成立,2023年3月
第二阶段的有效载荷是用来下载一个三级信息偷窃者,允许攻击者来收集信息,如从流行的浏览器像Google Chrome浏览器历史记录,微软边缘,勇敢和Mozilla Firefox。
这种攻击是什么时候开始的?
3 cx客户报道早在3月22日收到SentinelOne威胁警报。其他端点安全解决方案也开始国旗3 cx桌面应用程序和安装文件是恶意的。
然而,BleepingComputer研究人员指出的trojanized 3 cx桌面应用程序文件认定为恶意被3 cx 3月3日进行数字签名。我们不知道如果它是分布式的。
此外,GitHub库包含第一阶段的有效载荷是填充早在2022年12月底。
图像来源:成立,2023年3月
这是一个供应链的攻击吗?
是的,看来这一事件可能是供应链攻击的结果基于3 cx桌面应用程序安装Windows和macOS分布式直接从3 cx trojanized。而供应链攻击的确切细节不清楚,3 cx CISO皮埃尔约旦说这个问题源于“捆绑库之一”用于编译Windows和macOS 3 cx DesktopApps。
直到3月29日晚,trojanized版本的安装程序从3 cx仍可下载的网站。
这个报告已经证实通过其他供应商吗?
是的,SentinelOne发表了一篇博文,称之为“SmoothOperator”活动。Sophos X-Ops团队还发表了一篇博文,称其为DLL-sideloading攻击。
这种供应链攻击被归因于威胁演员?
是的,研究人员认为这供应链攻击3 cx是迷宫千里马球队的工作,一个亚族拉撒路集团演员,朝鲜国家资助先进的持续威胁。
这篇文章的前一版本没有指定迷宫千里马球队是拉撒路的一个子组。
3 cx的软件有多受欢迎?
的3 cx网站说,使用其软件每天超过600000家公司和1200万多个用户,包括几个值得注意的组织。
任何参与这种攻击漏洞吗?
当时这篇文章首次出版3月29日,我们没有意识到的任何漏洞与3 cx相关链接。然而,在3月30日,CVE标识符被分配对于这个问题:cve - 2023 - 29059
3 cx发表回应这些报告吗?
3月30日,3 cx在这个论坛上发表官方安全警报。警报,3 cx的首席执行官尼克Galea证实,“3 cx DesktopApp有恶意软件”而只喊“Windows电子为客户端运行更新7。”
《华盛顿邮报》指出,一个更新发布的Windows DesktopApp将“在未来几个小时。”然而,the post does not mention its macOS desktop app.
站得住脚的有没有插件版本的客户可以使用识别脆弱3 cx桌面应用程序?
成立了三个插件:
插件ID | 插件名称 |
---|---|
173712年 | 3 cx DesktopApp恶意软件 |
173677年 | 3 cx桌面应用程序本地Windows检测 |
173679年 | 3 cx桌面应用程序本地macOS检测 |
插件ID 173712可以用来识别trojanized 3 cx DesktopApp的版本。
3 cx指出,3月30日发布的最新版本的Windows和macOS 3 cx DesktopApp: 18.12.422版本。有关更多信息,请参考3 cx博客。
请为即将到来的插件信息跟随我们的插件管道页面。
获得更多的信息
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于成立一个现代风险管理平台的攻击表面。
更改日志
更新3月30日# 4:这个博客已经更新,以反映一个版本的可用性检查插件的3 cx包含恶意软件的桌面应用程序,一个更新版本的3 cx DesktopApp Windows和macOS CVE标识符(CVE - 2023 - 29059)分配供应链上的这个问题,澄清攻击和民族国家的联系。
更新3月30日# 3:这个博客已经更新,以反映额外trojanized 3 cx macOS的桌面应用程序版本。
更新3月30日# 2:这个博客已经更新,包括链接两个站得住脚的插件识别脆弱版本的3 cx桌面应用程序。
更新3月30日# 1:这个博客已经更新,包括链接到官方声明从3 cx的首席执行官尼克Galea的链接我们即将到来的检测插件的插件搜索页面。
相关文章
- 风险管理