Севернокорейски хакери атакуваха стотици хиляди компании по света с неизвестен троянски кон
Главният изпълнителен директор на 3CX Ник Галеа публикува съобщение във форума на компанията, в което се извинява за инцидента
Специалисти от няколко компании за информационна сигурност съобщиха за масирана хакерска атака срещу потребители на приложенията за VoIP телефония на 3CX Phone. Нападателите от групата Labyrinth Chollima, за която се твърди, че е свързана със севернокорейското правителство, са успели да интегрират троянски кон в приложенията на 3CX за Windows и macOS, които се използват от над 600 000 компании по света.
Хакерите са успели да компрометират системата за изграждане на софтуера на 3CX, която се използва за създаване и разпространение на нови версии на софтуерните продукти на компанията за платформите Windows и macOS. Контролът върху тази система е дал възможност на нападателите да скрият троянеца в легитимни VoIP приложения, които са били подписани с валиден сертификат на 3CX. Милиони потребители биха могли да бъдат изложени на риск, тъй като приложенията се използват от компании в цял свят, включително American Express, Mercedes-Benz, Price Waterhouse Cooper и други.
Версиите на приложенията, пуснати през март тази година, биха могли да представляват заплаха. Това са версии 18.12.407 и 18.12.416 за Windows и версии 18.11.1213, 18.12.402, 18.12.407 и 18.12.416 за macOS. Механизмът на атаката се задейства, когато потребителят изтегли инсталатора MSI от уебсайта на 3CX или изтегли пакет за услуги. Процесът на инсталиране извлича няколко зловредни DLL, необходими за стартиране на следващия етап от атаката. Въпреки че самият изпълним файл на инсталатора не е злонамерен, тези библиотеки се използват за изтегляне, извличане и изпълнение на криптирания полезен товар.
Следва изтегляне на ICO файлове от хранилището на GitHub с допълнителни редове код, които се използват за доставяне на крайния полезен товар на устройствата на жертвите. Първите ICO файлове са били добавени в GitHub през декември миналата година. Що се отнася до самия зловреден софтуер, той представлява неизвестен досега троянски кон, предназначен за кражба на информация, включително входни данни и пароли, съхранявани в уеб браузъри.
Главният изпълнителен директор на 3CX Ник Галеа публикува съобщение във форума на компанията, в което се извинява за инцидента. Той също така посъветва потребителите да изтрият версиите на приложенията, които са били компрометирани от нападателите, и временно да преминат към уеб версията на софтуера.