События 0
Ru
События 0
Результат поиска:
Платформа CrowdStrike Falcon обнаруживает и предотвращает активные вторжения, нацеленные на пользователей 3CXDesktopApp- image 1

Платформа CrowdStrike Falcon обнаруживает и предотвращает активные вторжения, нацеленные на пользователей 3CXDesktopApp

29 марта 2023 года CrowdStrike зафиксировала неожиданную вредоносную активность, происходящую из легитимного, подписанного двоичного файла 3CXDesktopApp — программы для софтфонов от 3CX. Вредоносная активность включала маячки к инфраструктуре, контролируемой злоумышленниками, развертывание полезной нагрузки второго этапа и, в небольшом количестве случаев, активность с использованием техники hands-on-keyboard.

Платформа CrowdStrike Falcon® имеет поведенческую защиту и атомные индикаторы обнаружения злоупотреблений 3CXDesktopApp. Кроме того, CrowdStrike® Falcon OverWatch™ помогает клиентам оставаться бдительными в отношении активности hands-on-keyboard.

Приложение 3CXDesktopApp доступно для Windows, macOS, Linux и для мобильных устройств. На данный момент активность наблюдается как на Windows, так и на macOS.

CrowdStrike Intelligence считает, что к угрозе причастна злонамеренная группа, спонсируемая государством (APT группа) LABYRINTH CHOLLIMA. Сегодня утром клиенты CrowdStrike Intelligence получили уведомление об этом активном вторжении.


Обнаружение и защита от CrowdStrike Falcon

Платформа CrowdStrike Falcon защищает клиентов от этой атаки, используя индикаторы атак на основе поведения (IOA) и индикаторы компрометации (IOC) для обнаружения злонамеренной активности, связанной с 3CX, как на macOS, так и на Windows.

Клиенты должны убедиться, что политики предотвращения должным образом настроены и включена функция «Подозрительные процессы» (Suspicious Processes).

Платформа CrowdStrike Falcon обнаруживает и предотвращает активные вторжения, нацеленные на пользователей 3CXDesktopApp - изображение 5Платформа CrowdStrike Falcon обнаруживает и предотвращает активные вторжения, нацеленные на пользователей 3CXDesktopApp - изображение 6Рисунок 1. Индикатор атаки CrowdStrike (IOA) определяет и блокирует злонамеренное поведение в macOS

Платформа CrowdStrike Falcon обнаруживает и предотвращает активные вторжения, нацеленные на пользователей 3CXDesktopApp - изображение 7Платформа CrowdStrike Falcon обнаруживает и предотвращает активные вторжения, нацеленные на пользователей 3CXDesktopApp - изображение 8Рисунок 2. Индикатор атаки CrowdStrike (IOA) определяет и блокирует злонамеренное поведение на Windows


Охота на платформе CrowdStrike Falcon

Falcon Discover

Клиенты CrowdStrike Falcon® Discover могут воспользоваться следующей ссылкой: US-1 | US-2 | EU | Gov, чтобы проверить наличие 3CXDesktopApp в своей среде.

Клиенты Falcon Insight могут проверить, работает ли 3CXDesktopApp в их среде, с помощью следующего запроса:

Event Search — Application Search (Поиск событий — Поиск приложений)

event_simpleName IN (PeVersionInfo, ProcessRollup2) FileName IN ("3CXDesktopApp.exe", "3CX Desktop App")

| stats dc(aid) as endpointCount by event_platform, FileName, SHA256HashData

Falcon Long Term Repository — Application Search (Долгосрочный репозиторий Falcon — Поиск приложений)

#event_simpleName=/^(PeVersionInfo|ProcessRollup2)$/ AND (event_platform=Win ImageFileName=/\3CXDesktopApp.exe$/i) OR (event_platform=Mac ImageFileName=//3CXsDesktopsApp/i)| ImageFileName = /.+(\|/)(?.+)$/i| groupBy([event_platform, FileName, SHA256HashData], function=count(aid, distinct=true, as=endpointCount))

Atomic Indicators (Атомные индикаторы)

Следующие домены были замечены как маячки, что следует рассматривать как признак злонамеренных намерений.

akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
dunamistrd[.]com
glcloudservice[.]com
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
visualstudiofactory[.]com
zacharryblogs[.]com

Пользователи CrowdStrike Falcon® Insight, независимо от срока хранения, могут проверить наличие этих доменов в своей среде за последний год с помощью Indicator Graph: US-1 | US-2 | EU | Gov.

Event Search — Domain Search (Поиск событий — Поиск доменов)

event_simpleName=DnsRequest DomainName IN (akamaicontainer.com, akamaitechcloudservices.com, azuredeploystore.com, azureonlinecloud.com, azureonlinestorage.com, dunamistrd.com, glcloudservice.com, journalide.org, msedgepackageinfo.com, msstorageazure.com, msstorageboxes.com, officeaddons.com, officestoragebox.com, pbxcloudeservices.com, pbxphonenetwork.com, pbxsources.com, qwepoi123098.com, sbmsa.wiki, sourceslabs.com, visualstudiofactory.com, zacharryblogs.com)| stats dc(aid) as endpointCount, earliest(ContextTimeStamp_decimal) as firstSeen, latest(ContextTimeStamp_decimal) as lastSeen by DomainName| convert ctime(firstSeen) ctime(lastSeen)

Falcon LTR — Domain Search (Falcon LTR — Поиск домена)

#event_simpleName=DnsRequest| in(DomainName, values=[akamaicontainer.com, akamaitechcloudservices.com, azuredeploystore.com, azureonlinecloud.com, azureonlinestorage.com, dunamistrd.com, glcloudservice.com, journalide.org, msedgepackageinfo.com, msstorageazure.com, msstorageboxes.com, officeaddons.com, officestoragebox.com, pbxcloudeservices.com, pbxphonenetwork.com, pbxsources.com, qwepoi123098.com, sbmsa.wiki, sourceslabs.com, visualstudiofactory.com, zacharryblogs.com])| groupBy([DomainName], function=([count(aid, distinct=true, as=endpointCount), min(ContextTimeStamp, as=firstSeen), max(ContextTimeStamp, as=lastSeen)]))| firstSeen := firstSeen * 1000 | formatTime(format="%F %T.%L", field=firstSeen, as="firstSeen")| lastSeen := lastSeen * 1000 | formatTime(format="%F %T.%L", field=lastSeen, as="lastSeen")| sort(endpointCount, order=desc)


Детали файла

SHA256 ОС Инсталлятор SHA256 Название файла
dde03348075512796241389dfea5560c20 a3d2a2eac95c894e7bbed5e85a0acc Windows aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a 8edcf9be345823b4fdcf5d868 3cxdesktopapp-18.12.407.msi
fad482ded2e25ce9e1dd3d3ecc3227af714b dfbbde04347dbc1b21d6a3670405 Windows 59e1edf4d82fae4978e97512b0331b7eb21dd4 b838b850ba46794d9c7a2c0983 3cxdesktopapp-18.12.416.msi
92005051ae314d61074ed94a52e76b1c3e21 e7f0e8c1d1fdd497a006ce45fa61 macOS 5407cda7d3a75e7b1e030b1f33337a56f29357 8ffa8b3ae19c671051ed314290 3CXDesktopApp-18.11.1213.dmg
b86c695822013483fa4e2dfdf712c5ee777d7 b99cbad8c2fa2274b133481eadb macOS e6bbc33815b9f20b0cf832d7401dd893fbc467 c800728b5891336706da0dbcec 3cxdesktopapp-latest.dmg

Рекомендации

Текущая рекомендация для всех клиентов CrowdStrike такова:

  1. Определите наличие программного обеспечения 3CXDesktopApp в вашей среде с помощью запросов, описанных выше.
  2. Убедитесь, что Falcon развернут в соответствующих системах.
  3. Убедитесь, что «Подозрительные процессы» (Suspicious Processes) включены в соответствующих политиках предотвращения.
  4. Ищите наличие атомных индикаторов в сторонних инструментах (если такие используются).

Узнать больше о решении CrowdStrike

UPDATE

После анализа и обратного инжиниринга командой CrowdStrike Intelligence, обнаружено, что подписанный MSI (aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868) является злонамеренным.

MSI сбрасывает три файла, основным из которых является скомпрометированный двоичный файл ffmpeg.dll (7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896).

После активации структура маячка HTTPS и ключ шифрования совпадают с теми, что наблюдались CrowdStrike во время кампании 7 марта 2023 года, которая с высокой вероятностью связана с субъектом угрозы, связанным с КНДР, – LABYRINTH CHOLLIMA.

Все клиенты Falcon могут просмотреть профиль злоумышленника на LABYRINTH CHOLLIMA (US-1 | US-2 | EU-1 | US-GOV-1)

CrowdStrike рекомендует удалить программное обеспечение 3CX с конечных точек, пока поставщик не сообщит, что будущие установки и сборки безопасны.

Пользователи Falcon Spotlight могут искать CVE-2023-3CX для обнаружения уязвимых версий программного обеспечения 3CX. Spotlight автоматически выделит эту уязвимость в вашей ленте уязвимостей.

iIT Distribution – официальный дистрибьютор решений компании CrowdStrike. Наши партнеры, клиенты и организации любого масштаба могут получить доступ к высокоэффективным продуктам CrowdStrike, запросив пробную версию на нашем сайте. Оставайтесь в безопасности!

НОВОСТИ

Текущие новости по вашей теме

Все новости
Все новости