Một phiên bản được ký điện tử và bị trojan hóa của ứng dụng khách máy tính để bàn 3CX Voice Over Internet Protocol (VOIP) được cho là đang được sử dụng để nhắm mục tiêu vào khách hàng của công ty trong một cuộc tấn công chuỗi cung ứng đang diễn ra. 3CX là công ty phát triển phần mềm VoIP IPBX có Hệ thống Điện thoại 3CX được hơn 600.000 công ty trên toàn thế giới sử dụng và có hơn 12 triệu người dùng hàng ngày.
Danh sách khách hàng của công ty bao gồm một danh sách dài các công ty và tổ chức nổi tiếng như American Express, Coca-Cola, McDonald’s, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA và Dịch vụ Y tế Quốc gia của Vương quốc Anh (người đã xuất bản một cảnh báo vào thứ năm).
Theo cảnh báo từ các nhà nghiên cứu bảo mật của Sophos và CrowdStrike, những kẻ tấn công đang nhắm mục tiêu vào cả người dùng Windows và macOS của ứng dụng phần mềm điện thoại 3CX bị xâm nhập.
“Hoạt động độc hại bao gồm đánh dấu hiệu cho cơ sở hạ tầng do tác nhân kiểm soát, triển khai tải trọng giai đoạn hai và trong một số ít trường hợp là hoạt động thao tác trên bàn phím,” nhóm thông tin về mối đe dọa của CrowdStrike cho biết, theo báo cáo của bleepingcomputer.com.
“Hoạt động hậu khai thác phổ biến nhất được quan sát cho đến nay là tạo ra một trình bao lệnh tương tác,” Sophos cho biết thêm trong một lời khuyên được đưa ra thông qua dịch vụ Phát hiện và Phản hồi được Quản lý của mình.
Trong khi CrowdStrike nghi ngờ một nhóm hack do nhà nước Bắc Triều Tiên hậu thuẫn mà họ theo dõi có tên là Labyrinth Collima đứng sau cuộc tấn công này, các nhà nghiên cứu của Sophos cho biết họ “không thể xác minh quy kết này với độ tin cậy cao”.
Hoạt động của Labyrinth Collima được biết là trùng lặp với các tác nhân đe dọa khác được theo dõi như Lazarus Group của Kaspersky, Covellite của Dragos, UNC4034 của Mandiant, Zinc của Microsoft và Nickel Academy của Secureworks.
“CrowdStrike có một quy trình phân tích chuyên sâu khi nói đến quy ước đặt tên của đối thủ,” công ty nói với BleepingComputerr qua email. “LABYRINTH CHOLLIMA là một tập hợp con của cái đã được mô tả là Nhóm Lazarus, bao gồm các đối thủ có mối quan hệ với CHDCND Triều Tiên khác, bao gồm SILENT CHOLLIMA và STARDUST CHOLLIMA.”
Phần mềm độc hại mới này có khả năng thu thập thông tin hệ thống và đánh cắp dữ liệu cũng như thông tin xác thực được lưu trữ từ hồ sơ người dùng Chrome, Edge, Brave và Firefox.
“Tại thời điểm này, chúng tôi không thể xác nhận rằng trình cài đặt Mac cũng bị nhiễm trojan tương tự. Cuộc điều tra đang diễn ra của chúng tôi bao gồm các ứng dụng bổ sung như tiện ích mở rộng của Chrome cũng có thể được sử dụng để thực hiện các cuộc tấn công”, SentinelOne cho biết.
Michael White, Giám đốc chiến lược giải pháp, Synopsys Software Integrity Group, cho biết: “Thật không may, đây là sự tái diễn của một sự cố mà chúng tôi đã gặp nhiều lần trước đây và rất có thể sẽ gặp lại trong tương lai. Các tổ chức phải bảo vệ môi trường phát triển phần mềm và đường ống phân phối của họ, đồng thời đảm bảo rằng tất cả cơ sở hạ tầng hỗ trợ đều được bảo vệ chặt chẽ.
“Tin tốt là toàn ngành cũng như các sáng kiến của chính phủ do các nhóm như NIST và CISA thúc đẩy đã đề xuất một bộ kỹ thuật đối phó có thể được áp dụng như SLSA và hướng dẫn có trong SSDF của NIST.
White nói rằng theo thời gian, các tổ chức sẽ thấy mình ngày càng được yêu cầu đảm bảo bao gồm cả bằng chứng từ người dùng cuối của họ rằng phần mềm được phát triển trong môi trường bảo mật phù hợp và các biện pháp bảo mật tốt nhất được tuân thủ.
“Tôi dự đoán chúng ta cũng sẽ chứng kiến sự trỗi dậy của giám đốc an ninh sản phẩm với vai trò mới và quan trọng tại nhiều tổ chức, và có khả năng các sáng kiến chuỗi cung ứng phần mềm tương tự sẽ xuất hiện ở các doanh nghiệp lớn để giúp tránh và bảo vệ khỏi những loại rủi ro này.”
Nguồn: https://logistics.asia/3cxdesktop-app-trojanizes-in-a-supply-chain-attack-check-point-customers-remain-protected/.
