据说3 cx桌面应用Windows和macOS在袭击供应链妥协
软电话桌面应用程序从3 cx,制造商使用的一个流行的解决方案的网络电话交换机600000多个组织,据报道已经trojanized作为供应链的一部分,攻击。cve - 2023 - 29059被分配这个问题在3月30日。
更新3月30日# 4:这个博客已经更新,以反映一个版本的可用性检查插件的3 cx包含恶意软件的桌面应用程序,一个更新版本的3 cx DesktopApp Windows和macOS CVE标识符(CVE - 2023 - 29059)分配供应链上的这个问题,澄清攻击和民族国家的联系。
背景
下面的报告软件由3 cx——开发人员的一个流行的互联网协议语音(VoIP)专用小交换机(PBX)电话系统-是妥协的“积极入侵活动”针对3 cx客户,成立安全响应团队(SRT)准备了这个常见问题(FAQ)博客详细我们知道攻击到目前为止。这篇博客的信息是当前截至3月29日。可以跟踪其他出版后更改下面的更新日志。
常见问题解答
3 cx发生了什么事?
3月29日文章在CrowdStrike subreddit显示3 cx桌面应用程序,一个软电话客户端为Windows和Mac,妥协和trojanized。
我们知道哪个版本的3 cx桌面应用程序是脆弱?
3月29日,根据被研究人员,公开共享以下版本的3 cx桌面应用程序被认为是影响:
| 操作系统 | 版本 | 文件名 | SHA256(安装程序) |
|---|---|---|---|
| 窗户 | 18.12.407 | 3 cxdesktopapp-18.12.407.msi | aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 |
| 窗户 | 18.12.416 | 3 cxdesktopapp-18.12.416.msi | 59 e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 |
| macOS | 18.11.1213 | 3 cxdesktopapp-18.11.1213.dmg | 5407年cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290 |
| macOS | 最新的 | 3 cxdesktopapp-latest.dmg | e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec |
3月30日,3 cx CISO皮埃尔约旦发表了一篇博文,列出额外trojanized 3 cx macOS的桌面应用程序版本:
- 18.12.402
- 18.12.407
- 18.12.416
这些trojanized版本的3 cx桌面应用程序做什么?
研究人员报告,trojanized应用程序已经观察到:
- 连接与威胁参与者相关基础设施
- 检索和部署”阶段的有效载荷
- Hands-on-keyboard活动(有限的情况下)
根据新披露的研究到攻击,第二阶段的载荷似乎是托管在一个公共GitHub库已经被移除。
图片来源:成立,2023年3月
第二阶段的有效载荷是用来下载一个三级信息偷窃者,允许攻击者来收集信息,如从流行的浏览器像Google Chrome浏览器历史记录,微软边缘,勇敢和Mozilla Firefox。
这种攻击是什么时候开始的?
3 cx客户报道早在3月22日收到SentinelOne威胁警报。其他端点安全解决方案也开始国旗3 cx桌面应用程序和安装文件是恶意的。
然而,BleepingComputer研究人员指出的trojanized 3 cx桌面应用程序文件认定为恶意被3 cx 3月3日进行数字签名。我们不知道如果它是分布式的。
此外,GitHub库包含第一阶段的有效载荷是填充早在2022年12月底。
图像来源:成立,2023年3月
这是一个供应链的攻击吗?
是的,看来这一事件可能是供应链攻击的结果基于3 cx桌面应用程序安装Windows和macOS分布式直接从3 cx trojanized。而供应链攻击的确切细节不清楚,3 cx CISO皮埃尔约旦说这个问题源于“捆绑库之一”用于编译Windows和macOS 3 cx DesktopApps。
直到3月29日晚,trojanized版本的安装程序从3 cx仍可下载的网站。
这个报告已经证实通过其他供应商吗?
是的,SentinelOne发表了一篇博文,称之为“SmoothOperator”活动。Sophos X-Ops团队还发表了一篇博文,称其为DLL-sideloading攻击。
这种供应链攻击被归因于威胁演员?
是的,研究人员认为这供应链攻击3 cx是迷宫千里马球队的工作,一个亚族拉撒路集团演员,朝鲜国家资助先进的持续威胁。
这篇文章的前一版本没有指定迷宫千里马球队是拉撒路的一个子组。
3 cx的软件有多受欢迎?
的3 cx网站说,使用其软件每天超过600000家公司和1200万多个用户,包括几个值得注意的组织。
任何参与这种攻击漏洞吗?
当时这篇文章首次出版3月29日,我们没有意识到的任何漏洞与3 cx相关链接。然而,在3月30日,CVE标识符被分配对于这个问题:cve - 2023 - 29059
3 cx发表回应这些报告吗?
3月30日,3 cx在这个论坛上发表官方安全警报。警报,3 cx的首席执行官尼克Galea证实,“3 cx DesktopApp有恶意软件”而只喊“Windows电子为客户端运行更新7。”
《华盛顿邮报》指出,一个更新发布的Windows DesktopApp将“在未来几个小时。”然而,the post does not mention its macOS desktop app.
站得住脚的有没有插件版本的客户可以使用识别脆弱3 cx桌面应用程序?
成立了三个插件:
| 插件ID | 插件名称 |
|---|---|
| 173712年 | 3 cx DesktopApp恶意软件 |
| 173677年 | 3 cx桌面应用程序本地Windows检测 |
| 173679年 | 3 cx桌面应用程序本地macOS检测 |
插件ID 173712可以用来识别trojanized 3 cx DesktopApp的版本。
3 cx指出,3月30日发布的最新版本的Windows和macOS 3 cx DesktopApp: 18.12.422版本。有关更多信息,请参考3 cx博客。
请为即将到来的插件信息跟随我们的插件管道页面。
获得更多的信息
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于成立一个现代风险管理平台的攻击表面。
更改日志
更新3月30日# 4:这个博客已经更新,以反映一个版本的可用性检查插件的3 cx包含恶意软件的桌面应用程序,一个更新版本的3 cx DesktopApp Windows和macOS CVE标识符(CVE - 2023 - 29059)分配供应链上的这个问题,澄清攻击和民族国家的联系。
更新3月30日# 3:这个博客已经更新,以反映额外trojanized 3 cx macOS的桌面应用程序版本。
更新3月30日# 2:这个博客已经更新,包括链接两个站得住脚的插件识别脆弱版本的3 cx桌面应用程序。
更新3月30日# 1:这个博客已经更新,包括链接到官方声明从3 cx的首席执行官尼克Galea的链接我们即将到来的检测插件的插件搜索页面。
相关文章
常见问题:SEC新网络安全规则对信息安全意味着领导人
2023年7月28日,7月26日,美国证券交易委员会投票3 - 2采用新规则将要求一些新的网络安全从上市公司披露的信息。Here&rsquo网络安全领导人需要知道的。
cve - 2023 - 35078: Ivanti端点管理器移动(EPMM) / MobileIron核心未经身份验证的API访问漏洞
2023年7月25日关键漏洞从Ivanti流行的移动设备管理解决方案已经在野外利用有限的攻击
成立网络看:美国政府发布网络安全实施计划,中钢协股票对云安全的免费工具,等等
2023年7月31日本周出版的站得住脚的网络看解包白宫的国家网络安全战略实施计划,并提供新的建议和指导关于生成采用人工智能的执行者。也覆盖:中钢协的股票其字幕新闻提供免费的工具,以帮助确保云环境。
常见问题:SEC新网络安全规则对信息安全意味着领导人
2023年7月28日,7月26日,美国证券交易委员会投票3 - 2采用新规则将要求一些新的网络安全从上市公司披露的信息。Here&rsquo网络安全领导人需要知道的。
网络安全快照:证券交易委员会想要更多网络安全从上市公司透明度
2023年7月28日,找出在美国证券交易委员会(SEC)的新网络安全信息披露规则。另外,中钢协分析了网络风险影响关键基础设施的组织。同时,检查指导的影子和技巧来提高安全意识程序。和更多!
- 风险管理