供应链攻击影响3CX VoIP软件，向主机投放恶意软件 媒体

3CX VoIP软件遭遇持续的供应链攻击

关键要点

3CX VoIP软件目前遭遇了一场持续的供应链攻击，这次攻击导致恶意软件被安装到3CX桌面应用程序上，进一步利用该脆弱的应用程序开展恶意活动。3CX的首席信息安全官皮埃尔朱尔丹Pierre Jourdan在一份声明中表示：“我们遗憾地通知我们的合作伙伴和客户，我们在更新7中发布的Electron Windows应用程序存在安全问题。”他补充道，“反病毒软件供应商已经标记了可执行文件3CXDesktopAppexe，并在许多情况下将其卸载。”

朱尔丹指出：“问题似乎出在我们通过GIT编译到Windows Electron应用中的捆绑库上。我们仍在进行研究，以便今天晚些时候提供更深入的响应。”3CX的首席执行官和CISO敦促网络防御者立即卸载该桌面客户端。公司目前正在努力发布一个更新来修复此问题，并建议客户在此期间使用PWA应用。

根据Shodanio的数据，目前公开暴露的3CX电话管理系统超过242519个。受到影响的3CX DesktopApp版本包括Windows版本的1812407和1812416，以及Electron Mac应用的18111213、1812402、1812407和1812416。

公司确定，受影响库联系的域名已被报告，其中大部分在3月29日被关闭。朱尔丹表示：“列出这些域名的GitHub仓库也已停止，实际上使其失去危害。”

CrowdStrike的Falcon OverWatch表示，其团队检测到“意外的恶意活动”，这源于一个合法且经过签名的二进制文件。活动包括“向操作者控制的基础设施发送信号、第二阶段有效载荷的部署，以及在少数情况下，存在人工干预的活动。”

ObjectiveSee Foundation的创始人帕特里克沃德尔Patrick Wardle对这次持续攻击进行了逆向工程分析，他发现“xor循环、时间检查、动态解析的API和字符串混淆”。“静态分析将会很痛苦，因此不推荐！”沃德尔警告说。他指出，继续进行静态分析似乎表明恶意软件期待下载第二阶段的有效载荷，这个有效载荷似乎被保存为“UpdateAgent”在Application Support/3CX Desktop App/目录下。

沃德尔提供了他逆向工程威胁的逐步分析，包括技术规格和发现。

初步归属迹象指向朝鲜

虽然尚无法做出明确的归属，但目前的共识认为，这次攻击可能是由与朝鲜有关的国家级威胁行为者发起的。根据CrowdStrike研究人员的说法：“HTTPS信标结构和加密密钥与CrowdStrike在2023年3月7日的活动中观察到的高度匹配，该活动被归因于与朝鲜有关的威胁行为者LABYRINTH CHOLLIMA。”该帖子包括关于可能威胁行为者的完整技术细节。

朱尔丹补充说，这似乎是一种由高级持续威胁APT发起的针对性攻击，并可能是国家资助的。“复杂的供应链攻击”似乎“选择了谁将下载他们恶意软件的下一阶段，”朱尔丹解释说。“绝大多数系统尽管潜在文件处于休眠状态，但实际上从未被感染。”

CrowdStrike在Reddit上发布了警告，在30分钟内，Huntress收到了“来自关心合作伙伴的支持请求”，并启动了防御措施以保护攻击向量。利用Falcon Overwatch行为指标的实体应确保预防政策被正确配置，以捕获“可疑进程”。

在Huntress的合作伙伴基础上，已经发送了超过2595份事件报告，报告表明“3CXDesktopAppexe二进制文件