3CX VoIP软件遭遇持续的供应链攻击

关键要点

• 3CX VoIP软件的安装被攻击，导致恶意软件安装。
• 建议客户立即卸载受影响的桌面客户端，使用PWA应用。
• 调查显示该攻击可能与朝鲜有关。

3CXVoIP软件目前遭遇了一场持续的供应链攻击，这次攻击导致恶意软件被安装到3CX桌面应用程序上，进一步利用该脆弱的应用程序开展恶意活动。3CX的首席信息安全官皮埃尔·朱尔丹（PierreJourdan）在一份声明中表示：“我们遗憾地通知我们的合作伙伴和客户，我们在更新7中发布的ElectronWindows应用程序…存在安全问题。”他补充道，“反病毒软件供应商已经标记了可执行文件3CXDesktopApp.exe，并在许多情况下将其卸载。”

朱尔丹指出：“问题似乎出在我们通过GIT编译到WindowsElectron应用中的捆绑库上。我们仍在进行研究，以便今天晚些时候提供更深入的响应。”3CX的首席执行官和CISO敦促网络防御者立即卸载该桌面客户端。公司目前正在努力发布一个更新来修复此问题，并建议客户在此期间使用PWA应用。

根据Shodan.io的数据，目前公开暴露的3CX电话管理系统超过242,519个。受到影响的3CXDesktopApp版本包括Windows版本的18.12.407和18.12.416，以及ElectronMac应用的18.11.1213、18.12.402、18.12.407和18.12.416。

公司确定，受影响库联系的域名已被报告，其中大部分在3月29日被关闭。朱尔丹表示：“列出这些域名的GitHub仓库也已停止，实际上使其失去危害。”

CrowdStrike的FalconOverWatch表示，其团队检测到“意外的恶意活动”，这源于一个合法且经过签名的二进制文件。活动包括“向操作者控制的基础设施发送信号、第二阶段有效载荷的部署，以及在少数情况下，存在人工干预的活动。”

的创始人帕特里克·沃德尔（PatrickWardle）对这次持续攻击进行了逆向工程分析，他发现“xor循环、时间检查、动态解析的API和字符串混淆”。“静态分析将会很痛苦，因此不推荐！”沃德尔警告说。他指出，继续进行静态分析似乎表明恶意软件期待下载第二阶段的有效载荷，这个有效载荷似乎被保存为“UpdateAgent”在ApplicationSupport/3CX Desktop App/目录下。

沃德尔提供了他逆向工程威胁的逐步分析，包括技术规格和发现。

初步归属迹象指向朝鲜

虽然尚无法做出明确的归属，但目前的共识认为，这次攻击可能是由与朝鲜有关的国家级威胁行为者发起的。根据CrowdStrike研究人员的说法：“HTTPS信标结构和加密密钥与CrowdStrike在2023年3月7日的活动中观察到的高度匹配，该活动被归因于与朝鲜有关的威胁行为者LABYRINTHCHOLLIMA。”该帖子包括关于可能威胁行为者的完整技术细节。

朱尔丹补充说，这似乎是一种由高级持续威胁（APT）发起的针对性攻击，并可能是国家资助的。“复杂的供应链攻击”似乎“选择了谁将下载他们恶意软件的下一阶段，”朱尔丹解释说。“绝大多数系统尽管潜在文件处于休眠状态，但实际上从未被感染。”

CrowdStrike在，在30分钟内，Huntress收到了“来自关心合作伙伴的支持请求”，并启动了防御措施以保护攻击向量。利用FalconOverwatch行为指标的实体应确保预防政策被正确配置，以捕获“可疑进程”。

在Huntress的合作伙伴基础上，已经发送了超过2,595份事件报告，报告表明“3CXDesktopApp.exe二进制文件