Sophos และ CrowdStrike ได้ประกาศการพบการโจมตีใน 3CX Voice Over Internet Protocol (VOIP) desktop client ที่ถูกฝังโทรจัน เพื่อมุ่งเป้าหมายการโจมตีไปยังลูกค้าของ 3CX VOIP ในลักษณะ supply chain attack
3CX เป็นบริษัทพัฒนาซอฟต์แวร์ VoIP IPBX ซึ่งระบบโทรศัพท์ 3CX ถูกใช้งานโดยบริษัทมากกว่า 600,000 แห่งทั่วโลก และมีผู้ใช้มากกว่า 12 ล้านคนต่อวัน โดยมีลูกค้าที่ใช้บริการประกอบไปด้วยบริษัท และองค์กรชั้นนำมากมาย เช่น American Express, Coca-Cola, McDonald's, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA และ National Health Service
จากในรายงานของ Sophos และ CrowdStrike พบว่า Hacker ได้กำหนดเป้าหมายการโจมตีไปยังผู้ใช้ Windows และ macOS ของ 3CX softphone app หลังจากนั้นจะเรียกใช้งาน beacon เพื่อติดต่อกลับไปหา Hacker และเรียกใช้เพย์โหลดขั้นที่สอง ซึ่งอาจจะมีการบันทึกแป้นพิมพ์ของเครื่องเป้าหมาย รวมไปถึงการเรียกใช้คำสั่งผ่านทาง command shell
รวมไปถึง CrowdStrike ได้คาดการณ์ว่าการโจมตีในครั้งนี้มีความเกี่ยวข้องกับกลุ่ม Labyrinth Collima ซึ่งเป็นกลุ่ม Hacker ที่ได้การสนับสนุนจากรัฐบาลเกาหลีเหนือ ซึ่งเป็นกลุ่มย่อยของกลุ่ม Lazarus Group อีกที
การโจมตี supply chain attack ด้วย SmoothOperator software
SentinelOne และ Sophos ได้พบการโจมตีใน 3CX desktop app ที่ถูกฝังโทรจันเพื่อใช้ในการโจมตีแบบ supply chain attack
โดยการโจมตีครั้งนี้มีชื่อว่า 'SmoothOperator' โดยจะเริ่มต้นการโจมตีเมื่อมีการดาวน์โหลดโปรแกรมติดตั้ง .MSI จากเว็บไซต์ของ 3CX หรือดำเนินการอัปเดตแอปพลิเคชันบนเครื่องที่ได้มีการติดตั้ง 3CX desktop app อยู่
เมื่อติดตั้งไฟล์ .MSI หรือทำการอัปเดตเรียบร้อยแล้ว โปรแกรมจะแตกไฟล์ แล้วถอดรหัส payload ที่เข้ารหัสไว้ ซึ่งประกอบไปด้วยไฟล์ ffmpeg.dll ที่เป็นอันตราย และไฟล์ d3dcompiler_47.dll ซึ่งใช้ในการโจมตีขั้นต่อไป โดยจะทำการดาวน์โหลดไฟล์ไอคอนที่โฮสต์อยู่บน GitHub ซึ่งมีการเข้ารหัสแบบ Base64 อีกทั้งยังพบว่า GitHub repository ที่ใช้จัดเก็บไอคอนเหล่านี้ถูกอัปโหลดครั้งแรกในวันที่ 7 ธันวาคม 2022 
SentinelOne ระบุว่า มัลแวร์ได้ใช้สตริง Base64 เพื่อดาวน์โหลดเพย์โหลดขั้นสุดท้ายไปยังอุปกรณ์เป้าหมาย ซึ่งเป็นมัลแวร์ที่ใช้ในการขโมยข้อมูลที่ไม่เคยถูกพบมาก่อน ซึ่งถูกดาวน์โหลดมาเป็นไฟล์ DLL โดยมัลแวร์ดังกล่าวมีความสามารถในการเก็บรวบรวมข้อมูลบนระบบ และขโมยข้อมูล credentials จากผู้ใช้งานบน Chrome, Edge, Brave และ Firefox 
Domain ที่น่าสงสัย
จากการตรวจสอบของ CrowdStrike พบว่าโทรจันที่อยู่ใน 3CX desktop client ได้ทำการเชื่อมต่อไปยังโดเมนที่น่าสงสัยดังต่อไปนี้
3CXDesktopApp.exe SHA256 hashes
a60a61bf844bc181d4540c9fac53203250a982e7c3ad6153869f01e19cc36203 (18.12.416)
5d99efa36f34aa6b43cd81e77544961c5c8d692c96059fef92c2df2624550734 (18.12.416)
54004dfaa48ca5fa91e3304fb99559a2395301c570026450882d6aad89132a02 (18.12.407)
d45674f941be3cca2fbc1af42778043cc18cd86d95a2ecb9e6f0e212ed4c74ae (18.12.407)
3CXDesktopApp MSI Installer SHA256 hashes
aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868
59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983
3CXDesktopApp macOS SHA256 hashes
92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61
b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb
3CXDesktopApp macOS DMG Installer hashes
5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290
e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec
รวมถึงผู้ใช้งานยังได้แจ้งว่าพบ 3CX desktop client พยายามเชื่อมต่อไปยังโดเมน azureonlinestorage[.]com, msstorageboxes[.]com และ msstorageazure[.]com
นอกจากนี้ผู้ใช้งาน 3CX desktop client ยังพบว่าแอป VoIP client ในเครื่องที่ใช้งาน ได้ถูกแจ้งเตือนความปลอดภัยจากซอฟต์แวร์รักษาความปลอดภัย เช่น SentinelOne, CrowdStrike, ESET, Palo Alto Networks และ SonicWall ตั้งแต่วันที่ 22 มีนาคม 2023 โดยพบการแจ้งเตือนความปลอดภัยหลังจากทำการอัปเดต/ติดตั้ง 3CXDesktopApp เวอร์ชัน 18.12.407 และ 18.12.416 Windows หรือ 18.11.1213 และเวอร์ชันล่าสุดบน Mac ซึ่งตรงกับที่ทาง 3CX ได้ออกมาประกาศว่า 3CXDesktopApp เวอร์ชัน Mac client 18.11.1213, 18.12.402, 18.12.407 และ 18.12.416 มีความเสี่ยงด้านความปลอดภัย
จากหลักฐานที่ทาง CrowdStrike พบ ซึ่งพบว่า 3CX softphone client ที่ถูกฝังโทรจันนั้นมีใบรับรองดิจิทัลที่ถูกต้องของ 3CX Ltd ซึ่งออกโดย Sectigo และประทับเวลาโดย DigiCert
โดยทาง SentinelOne ได้ทำการวิเคราะห์ 3CXDesktopApp.exe พบว่าเป็นการโจมตีแบบ "penetration framework or shellcode" เช่นเดียวกับ ESET ได้วิเคราะห์ว่าเป็น "Win64/Agent.CFM" รวมถึง Sophos ได้วิเคราะห์ว่าเป็น "Troj/Loader-AF"
3CX ออกมายืนยันการถูกโจมตี
ในวันที่ 30 มีนาคม 2023 Nick Galea CEO ของ 3CX ได้ออกประกาศยอมรับการพบแอปพลิเคชัน 3CX Desktop ถูกโจมตี และเข้าถึงได้ จึงได้แจ้งเตือนให้ลูกค้าทำการถอนการติดตั้ง desktop app และเปลี่ยนไปใช้ PWA client แทน
การป้องกัน
- หากใช้งาน 3CX desktop client แนะนำให้รีบทำการถอนการติดตั้งแอปดังกล่าวออกจากเครื่องจนกว่าจะมีการประกาศอัปเดตด้านความปลอดภัยของ 3CX desktop client ออกมาอีกครั้ง
ที่มา : bleepingcomputer
You must be logged in to post a comment.