Служба VoIP, используемая некоторыми из крупнейших мировых фирм, была взломана
30 марта 2023 г.Исследователи кибербезопасности предупреждают, что злоумышленники могут злоупотреблять уязвимостью в решении VoIP. используется некоторыми крупнейшими мировыми брендами
Несколько компаний, занимающихся кибербезопасностью, забили тревогу в отношении 3CX, в том числе Sophos и CrowdStrike, заявив, что злоумышленники активно атакуют пользователей скомпрометированных клиентов 3CX для настольных ПК как на Windows, так и на macOS. .
Согласно отчету BleepingComputer, VoIP-платформа от 3CX насчитывает более 600 000 клиентов и более 12 миллионов пользователей в день, среди которых такие клиенты, как American Express, Coca-Cola, McDonald's, BMW, и многие другие.
Кража конфиденциальных данных
Уязвимые версии приложения 3CXDesktop включают 18.12.407 и 18.12.416 для Windows и 18.11.1213 для macOS. В начале марта один из троянских клиентов был подписан цифровой подписью с легитимным сертификатом 3CX, выданным DigiCert, говорится в публикации.
«Вредоносная активность включает отправку маяков в инфраструктуру, контролируемую субъектом, развертывание полезной нагрузки второго этапа. , и, в некоторых случаях, практические действия на клавиатуре», — говорит CrowdStrike. «Самая распространенная активность после эксплуатации, наблюдаемая на сегодняшний день, — это создание интерактивной командной оболочки», — говорится в отчете Sophos.
Другая компания по кибербезопасности, SentinelOne, добавила, что вредоносное ПО способно красть системную информацию, а также данные, хранящиеся в браузерах Chrome, Edge, Brave и Firefox. К ним часто относятся учетные данные для входа и платежная информация.
Хотя исследователи не могут прийти к единому мнению о личности злоумышленников, CrowdStrike подозревает Labyrinth Collima, хакерскую группу, спонсируемую северокорейским государством.
"LABYRINTH CHOLLIMA – это подразделение организации, известной как Lazarus Group, в которую входят другие противники связи между КНДР, в том числе SILENT CHOLLIMA и STARDUST CHOLLIMA".
Компания признала атаку на свой блог и подтвердил, что работает над исправлением:
«Мы с сожалением сообщаем нашим партнерам и клиентам, что наше приложение Electron для Windows, поставляемое в обновлении 7, номера версий 18.12.407 и 18.12.416, содержит проблему безопасности. Поставщики антивирусов помечают исполняемый файл 3CXDesktopApp.exe и во многих случаях удаляют его», — говорится в объявлении. «Похоже, проблема связана с одной из связанных библиотек, которые мы скомпилировали в приложение Windows Electron через GIT. Мы все еще изучаем этот вопрос, чтобы предоставить более подробный ответ сегодня позже».
«Тем временем мы приносим глубочайшие извинения за то, что произошло, и мы сделаем все, что в наших силах, чтобы компенсировать эта ошибка».
- Это лучшие инструменты для удаления вредоносных программ прямо сейчас
Через: BleepingComputer
Оригинал