Платформа CrowdStrike Falcon обнаруживает и предотвращает активные вторжения, нацеленные на пользователей 3CXDesktopApp
29 марта 2023 года CrowdStrike зафиксировала неожиданную вредоносную активность, происходящую из легитимного, подписанного двоичного файла 3CXDesktopApp — программы для софтфонов от 3CX. Вредоносная активность включала маячки к инфраструктуре, контролируемой злоумышленниками, развертывание полезной нагрузки второго этапа и, в небольшом количестве случаев, активность с использованием техники hands-on-keyboard.
Платформа CrowdStrike Falcon® имеет поведенческую защиту и атомные индикаторы обнаружения злоупотреблений 3CXDesktopApp. Кроме того, CrowdStrike® Falcon OverWatch™ помогает клиентам оставаться бдительными в отношении активности hands-on-keyboard.
Приложение 3CXDesktopApp доступно для Windows, macOS, Linux и для мобильных устройств. На данный момент активность наблюдается как на Windows, так и на macOS.
CrowdStrike Intelligence считает, что к угрозе причастна злонамеренная группа, спонсируемая государством (APT группа) LABYRINTH CHOLLIMA. Сегодня утром клиенты CrowdStrike Intelligence получили уведомление об этом активном вторжении.
Обнаружение и защита от CrowdStrike Falcon
Платформа CrowdStrike Falcon защищает клиентов от этой атаки, используя индикаторы атак на основе поведения (IOA) и индикаторы компрометации (IOC) для обнаружения злонамеренной активности, связанной с 3CX, как на macOS, так и на Windows.
Клиенты должны убедиться, что политики предотвращения должным образом настроены и включена функция «Подозрительные процессы» (Suspicious Processes).
Рисунок 1. Индикатор атаки CrowdStrike (IOA) определяет и блокирует злонамеренное поведение в macOS
Рисунок 2. Индикатор атаки CrowdStrike (IOA) определяет и блокирует злонамеренное поведение на Windows
Охота на платформе CrowdStrike Falcon
Falcon Discover
Клиенты CrowdStrike Falcon® Discover могут воспользоваться следующей ссылкой: US-1 | US-2 | EU | Gov, чтобы проверить наличие 3CXDesktopApp в своей среде.
Клиенты Falcon Insight могут проверить, работает ли 3CXDesktopApp в их среде, с помощью следующего запроса:
Event Search — Application Search (Поиск событий — Поиск приложений)
event_simpleName IN (PeVersionInfo, ProcessRollup2) FileName IN ("3CXDesktopApp.exe", "3CX Desktop App")
| stats dc(aid) as endpointCount by event_platform, FileName, SHA256HashData
Falcon Long Term Repository — Application Search (Долгосрочный репозиторий Falcon — Поиск приложений)
#event_simpleName=/^(PeVersionInfo|ProcessRollup2)$/ AND (event_platform=Win ImageFileName=/\3CXDesktopApp.exe$/i) OR (event_platform=Mac ImageFileName=//3CXsDesktopsApp/i)| ImageFileName = /.+(\|/)(?.+)$/i| groupBy([event_platform, FileName, SHA256HashData], function=count(aid, distinct=true, as=endpointCount))
Atomic Indicators (Атомные индикаторы)
Следующие домены были замечены как маячки, что следует рассматривать как признак злонамеренных намерений.
akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
dunamistrd[.]com
glcloudservice[.]com
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
visualstudiofactory[.]com
zacharryblogs[.]com
Пользователи CrowdStrike Falcon® Insight, независимо от срока хранения, могут проверить наличие этих доменов в своей среде за последний год с помощью Indicator Graph: US-1 | US-2 | EU | Gov.
Event Search — Domain Search (Поиск событий — Поиск доменов)
event_simpleName=DnsRequest DomainName IN (akamaicontainer.com, akamaitechcloudservices.com, azuredeploystore.com, azureonlinecloud.com, azureonlinestorage.com, dunamistrd.com, glcloudservice.com, journalide.org, msedgepackageinfo.com, msstorageazure.com, msstorageboxes.com, officeaddons.com, officestoragebox.com, pbxcloudeservices.com, pbxphonenetwork.com, pbxsources.com, qwepoi123098.com, sbmsa.wiki, sourceslabs.com, visualstudiofactory.com, zacharryblogs.com)| stats dc(aid) as endpointCount, earliest(ContextTimeStamp_decimal) as firstSeen, latest(ContextTimeStamp_decimal) as lastSeen by DomainName| convert ctime(firstSeen) ctime(lastSeen)
Falcon LTR — Domain Search (Falcon LTR — Поиск домена)
#event_simpleName=DnsRequest| in(DomainName, values=[akamaicontainer.com, akamaitechcloudservices.com, azuredeploystore.com, azureonlinecloud.com, azureonlinestorage.com, dunamistrd.com, glcloudservice.com, journalide.org, msedgepackageinfo.com, msstorageazure.com, msstorageboxes.com, officeaddons.com, officestoragebox.com, pbxcloudeservices.com, pbxphonenetwork.com, pbxsources.com, qwepoi123098.com, sbmsa.wiki, sourceslabs.com, visualstudiofactory.com, zacharryblogs.com])| groupBy([DomainName], function=([count(aid, distinct=true, as=endpointCount), min(ContextTimeStamp, as=firstSeen), max(ContextTimeStamp, as=lastSeen)]))| firstSeen := firstSeen * 1000 | formatTime(format="%F %T.%L", field=firstSeen, as="firstSeen")| lastSeen := lastSeen * 1000 | formatTime(format="%F %T.%L", field=lastSeen, as="lastSeen")| sort(endpointCount, order=desc)
Детали файла
| SHA256 | ОС | Инсталлятор SHA256 | Название файла |
|---|---|---|---|
| dde03348075512796241389dfea5560c20 a3d2a2eac95c894e7bbed5e85a0acc | Windows | aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a 8edcf9be345823b4fdcf5d868 | 3cxdesktopapp-18.12.407.msi |
| fad482ded2e25ce9e1dd3d3ecc3227af714b dfbbde04347dbc1b21d6a3670405 | Windows | 59e1edf4d82fae4978e97512b0331b7eb21dd4 b838b850ba46794d9c7a2c0983 | 3cxdesktopapp-18.12.416.msi |
| 92005051ae314d61074ed94a52e76b1c3e21 e7f0e8c1d1fdd497a006ce45fa61 | macOS | 5407cda7d3a75e7b1e030b1f33337a56f29357 8ffa8b3ae19c671051ed314290 | 3CXDesktopApp-18.11.1213.dmg |
| b86c695822013483fa4e2dfdf712c5ee777d7 b99cbad8c2fa2274b133481eadb | macOS | e6bbc33815b9f20b0cf832d7401dd893fbc467 c800728b5891336706da0dbcec | 3cxdesktopapp-latest.dmg |
Рекомендации
Текущая рекомендация для всех клиентов CrowdStrike такова:
- Определите наличие программного обеспечения 3CXDesktopApp в вашей среде с помощью запросов, описанных выше.
- Убедитесь, что Falcon развернут в соответствующих системах.
- Убедитесь, что «Подозрительные процессы» (Suspicious Processes) включены в соответствующих политиках предотвращения.
- Ищите наличие атомных индикаторов в сторонних инструментах (если такие используются).
Узнать больше о решении CrowdStrike
UPDATE
После анализа и обратного инжиниринга командой CrowdStrike Intelligence, обнаружено, что подписанный MSI (aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868) является злонамеренным.
MSI сбрасывает три файла, основным из которых является скомпрометированный двоичный файл ffmpeg.dll (7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896).
После активации структура маячка HTTPS и ключ шифрования совпадают с теми, что наблюдались CrowdStrike во время кампании 7 марта 2023 года, которая с высокой вероятностью связана с субъектом угрозы, связанным с КНДР, – LABYRINTH CHOLLIMA.
Все клиенты Falcon могут просмотреть профиль злоумышленника на LABYRINTH CHOLLIMA (US-1 | US-2 | EU-1 | US-GOV-1)
CrowdStrike рекомендует удалить программное обеспечение 3CX с конечных точек, пока поставщик не сообщит, что будущие установки и сборки безопасны.
Пользователи Falcon Spotlight могут искать CVE-2023-3CX для обнаружения уязвимых версий программного обеспечения 3CX. Spotlight автоматически выделит эту уязвимость в вашей ленте уязвимостей.
iIT Distribution – официальный дистрибьютор решений компании CrowdStrike. Наши партнеры, клиенты и организации любого масштаба могут получить доступ к высокоэффективным продуктам CrowdStrike, запросив пробную версию на нашем сайте. Оставайтесь в безопасности!
