3CX, desktop aplikacija za upućivanje poziva putem interneta (VOIP), postala je trojanac za krađu podataka. 3CX koriste brojne poznate kompanije kao što su Toyota, McDonald’s, Honda, BMW, Mercedes, Coca-Cola i dr.
Najnovije dostupno ažuriranje ove aplikacije pokazalo se zlonamjernim, a do trojanizacije aplikacije došlo je zbog kompromitacije lanca opskrbe. CrowStrike smatra kako se radi o sjevernokorejskoj državno sponzoriranoj skupini Lazarus.
Nakon preuzimanja aplikacije ili ažuriranja za već instaliranu inačicu, preuzimaju se i zlonamjerne DLL datoteke (ffmpeg.dll i d3dcompiler_47.dll) koje se koriste za preuzimanje dodatnih malicioznih datoteka s ciljem krađe podataka i komunikaciju s malicioznom infrastrukturom, a u pojedinim slučajevima i upravljanje zaraženim računalom.
Maliciozne verzije 3CX Desktop aplikacije:
– Windows: 18.12.407 i 18.12.416
– Mac: 18.11.1213, 18.12.402, 18.12.407 i 18.12.416
Savjetujemo čišćenje računala s navedenim verzijama aplikacije te provjeru indikatora kompromitacije koji se nalaze na sljedećim poveznicama:
[1] https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident/
[2] https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/
[3] https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/
