Apr
04

3CX Sotto Attacco

3CX Sotto Attacco

I ricercatori di sicurezza di varie aziende hanno lanciato l'allarme su quello che potrebbe essere un altro grande attacco alla catena di approvvigionamento, simile a quello che ha riguardato SolarWinds o Kaseya, che questa volta coinvolge le versioni Windows e Mac di un'applicazione di videoconferenza, PBX e comunicazione aziendale ampiamente utilizzata da 3CX.
 
Qual è l'applicazione compromessa?
L'applicazione 3CX è un software PABX che fornisce ai suoi utenti diverse funzioni di comunicazione, tra cui videoconferenze, live chat e gestione delle chiamate. L'applicazione è disponibile sulla maggior parte dei principali sistemi operativi, tra cui Windows, macOS e Linux. Inoltre, il client è disponibile come applicazione mobile per dispositivi Android e iOS, mentre un'estensione per Chrome e la versione PWA del client consentono agli utenti di accedere al software attraverso i loro browser.

Il 30 marzo, diversi fornitori di sicurezza hanno dichiarato di aver osservato versioni legittime, firmate digitalmente, della App 3CX Desktop distribuite assieme a programmi di installazione dannosi che arrivano sui PC degli utenti tramite il processo di aggiornamento automatico ufficiale dell'azienda.
Il risultato finale è un malware che ruba i dati e che viene impiantato come parte di un probabile tentativo di cyberspionaggio da parte di un attore di minaccia persistente avanzata (APT).


L'impatto potenziale della nuova minaccia potrebbe essere enorme, 3CX vanta infatti circa 600.000 installazioni in tutto il mondo con oltre 12 milioni di utenti giornalieri. Tra i suoi numerosi clienti di spicco vi sono aziende come American Express, Avis, Coca Cola, Honda, McDonald's, Pepsi e Toyota.
 
L'azienda CrowdStrike ha stabilito che il gruppo autore della minaccia è Labyrinth Chollima, un gruppo che molti ricercatori ritengono collegato all'unità di guerra informatica dell'agenzia di intelligence della Corea del Nord nota come RGB (Reconnaissance General Bureau)Labyrinth Chollima è uno dei quattro gruppi che secondo CrowdStrike fanno parte del più ampio Lazarus Group della Corea del Nord.
 
Al 30 marzo la minaccia era ancora molto attiva. "Attualmente, gli ultimi programmi di installazione e gli aggiornamenti disponibili sul sito web pubblico di 3CX sono ancora le applicazioni compromesse e retrodatate che sono state segnalate da numerose società di sicurezza come notoriamente dannose", ha infatto afferma John Hammond, ricercatore di sicurezza senior di Huntress.
 
App aziendali manomesse con pacchetti di installazione dannosi
L'applicazione manomessa arriva su un sistema vittima quando l'applicazione 3CX Desktop si aggiorna automaticamente o quando un utente scarica l'ultima versione in modo proattivo. Una volta inviata a un sistema, l'applicazione 3CX Desktop esegue un programma di installazione dannoso, che si collega a un server controllato dall'aggressore, da cui estrae un malware di secondo livello che ruba le informazioni e lo installa sul computer dell'utente. CrowdStrike, uno dei primi a segnalare la minaccia il 29 marzo, ha dichiarato che in alcuni casi ha anche osservato un'attività dannosa della tastiera sui sistemi con l'applicazione 3CX troianizzata.
 
In un messaggio del 30 marzo, l'amministratore delegato di 3CX Nick Galea ha esortato gli utenti a disinstallare immediatamente l'applicazione, aggiungendo che Microsoft Windows Defender lo farà automaticamente per gli utenti che eseguono il software. Galea ha esortato i clienti che desiderano le funzionalità dell'applicazione a utilizzare la versione del client Web della tecnologia mentre l'azienda lavora per fornire un aggiornamento.
 
Un avviso di sicurezza di Pierre Jourdan, CISO di 3CX, ha identificato le applicazioni interessate come Electron Windows App, fornita con l'Update 7, con i numeri di versione 18.12.407 e 18.12.416 e Electron Mac App con i numeri di versione 18.11.1213, 18.12.402, 18.12.407 e 18.12.416. "Il problema sembra riguardare una delle librerie in bundle che abbiamo compilato nell'applicazione Electron per Windows tramite GIT", ha dichiarato Jourdan.
 
Gli aggressori probabilmente hanno violato l'ambiente di produzione di 3CX
Né i messaggi di Jourdan né quelli di Galea hanno fornito indicazioni su come gli aggressori siano riusciti a ottenere l'accesso necessario per manomettere il files binario 3CXDekstopApp.exe firmato. Ma almeno due fornitori di sicurezza che hanno analizzato la minaccia affermano che questa sarebbe potuta avvenire solo se gli aggressori si fossero trovati nell'ambiente di sviluppo o di compilazione di 3CX.
 
"Anche se solo 3CX ha il quadro completo di ciò che è accaduto, finora, dalle indagini forensi, valutiamo con grande sicurezza che l'attore della minaccia ha avuto accesso al processo di produzione di 3CX", afferma Lotem Finkelstein, direttore della divisione threat intelligence & research di Check Point Software. "I file sono firmati con i certificati 3CX, gli stessi utilizzati per le precedenti versioni benigne. Il codice è costruito in modo da continuare a funzionare come dovrebbe, ma aggiunge anche del malware".
 
Dick O'Brien, analista intelligente principale del team Threat Hunter di Symantec, afferma che l'attore della minaccia non sembra aver toccato l'eseguibile principale. Invece, l'APT ha compromesso due librerie di collegamento dinamico (DLL) che sono state fornite insieme all'eseguibile nel programma di installazione.
 
"Una DLL è stata sostituita con un file completamente diverso con lo stesso nome", spiega O'Brien. "La seconda era una versione troianizzata della DLL legittima, alla quale gli aggressori hanno aggiunto essenzialmente altri dati crittografati". Gli aggressori hanno utilizzato una tecnica, nota come DLL sideloading, per ingannare il binario 3CX legittimo e caricare ed eseguire la DLL dannosa.
 
O'Brien concorda sul fatto che gli aggressori avrebbero dovuto avere accesso all'ambiente di produzione di 3CX per portare a termine l'hacking. "Il modo in cui l'hanno fatto rimane sconosciuto. Ma una volta ottenuto l'accesso all'ambiente di compilazione, tutto ciò che hanno dovuto fare è stato rilasciare due DLL nella directory di compilazione".
 
Impatto potenzialmente ampio
I ricercatori di Huntress che stanno monitorando la minaccia hanno dichiarato di aver inviato finora un totale di 2.595 segnalazioni di incidenti ai clienti, avvertendoli della presenza di host che eseguono versioni sensibili dell'applicazione desktop 3CX. In questi casi, il software corrispondeva all'hash o all'identificatore di una delle applicazioni dannose conosciute.
 
"La fase finale della catena di attacco che conosciamo è quella di raggiungere i server di comando e controllo, ma sembra che questo avvenga con un timer impostato dopo sette giorni", afferma Hammond di Huntress. Una ricerca sul motore di ricerca Shodan condotta da Huntress ha evidenziato 242.519 sistemi 3CX esposti pubblicamente, anche se l'impatto del problema è probabilmente più ampio di questo insieme di obiettivi.
"Gli aggiornamenti ricevuti dall'applicazione 3CX Desktop firmata provengono dalla fonte di aggiornamento 3CX legittima, quindi a prima vista tutto sembra normale", aggiunge. Molti utenti finali non si aspettavano che l'applicazione 3CX originale e valida facesse improvvisamente scattare i campanelli d'allarme dei loro prodotti antivirus o di sicurezza, e nella fase iniziale, in cui non sono state scoperte molte informazioni, c'era un po' di confusione sul fatto che l'attività fosse dannosa o meno".

Sui suoi forum, 3CX ha pubblicato una nota informativa che consiglia di disinstallare l'applicazione desktop e di utilizzare invece il client Progressive Web App (PWA). L'azienda ha inoltre dichiarato che sta lavorando a un aggiornamento dell'applicazione desktop.

Criptovalute nel mirino
In un aggiornamento del 3 aprile I ricercatori di Kaspersky hanno rivelato di aver identificato un piccolo numero di aziende che si occupano di criptovalute tra le vittime dell'attacco alla catena di fornitura del software 3CX. Kaspersky ha rifiutato di fare i nomi di queste aziende, ma fa notare che hanno sede in "Asia occidentale". 

Tuttavia, date le centinaia di migliaia di potenziali vittime della compromissione della catena di approvvigionamento di 3CX, non si può ancora concludere che in questo attacco siano state prese di mira solo le società che si occupano di cryptovalute.