Платформа CrowdStrike Falcon виявляє та запобігає активним вторгненням, націленим на користувачів 3CXDesktopApp
29 березня 2023 року CrowdStrike зафіксувала несподівану шкідливу активність, що походила з легітимного, підписаного двійкового файлу 3CXDesktopApp – програми для софтфонів від 3CX. Шкідлива активність включала маячки до інфраструктури, контрольованої зловмисниками, розгортання корисного навантаження другого етапу і, в невеликій кількості випадків, активність з використанням техніки hands-on-keyboard.
Платформа CrowdStrike Falcon® має поведінковий захист та атомні індикатори виявлення зловживань 3CXDesktopApp. Крім того, CrowdStrike® Falcon OverWatch™ допомагає клієнтам залишатися пильними щодо активності hands-on-keyboard.
Додаток 3CXDesktopApp доступний для Windows, macOS, Linux і для мобільних пристроїв. На цей час активність спостерігається як на Windows, так і на macOS.
CrowdStrike Intelligence вважає, що до загрози причетна зловмисна група, спонсорована державою (APT група) LABYRINTH CHOLLIMA. Сьогодні вранці клієнти CrowdStrike Intelligence отримали сповіщення про це активне вторгнення.
Виявлення та захист від CrowdStrike Falcon
Платформа CrowdStrike Falcon захищає клієнтів від цієї атаки, використовуючи індикатори атак на основі поведінки (IOA) та індикатори компрометації (IOC) для виявлення зловмисної активності, пов’язаної з 3CX, як на macOS, так і на Windows.
Клієнти повинні переконатися, що політики запобігання належним чином налаштовані та увімкнено функцію “Підозрілі процеси” (Suspicious Processes).
Рисунок 1. Індикатор атаки CrowdStrike (IOA) визначає та блокує зловмисну поведінку в macOS
Рисунок 2. Індикатор атаки CrowdStrike (IOA) визначає та блокує зловмисну поведінку на Windows
Полювання на платформі CrowdStrike Falcon
Falcon Discover
Клієнти CrowdStrike Falcon® Discover можуть скористатися наступним посиланням: US-1 | US-2 | EU | Gov, щоб перевірити наявність 3CXDesktopApp у своєму середовищі.
Клієнти Falcon Insight можуть перевірити, чи працює 3CXDesktopApp в їхньому середовищі, за допомогою наступного запиту:
Event Search — Application Search (Пошук подій — Пошук додатків)
event_simpleName IN (PeVersionInfo, ProcessRollup2) FileName IN ("3CXDesktopApp.exe", "3CX Desktop App")
| stats dc(aid) as endpointCount by event_platform, FileName, SHA256HashData
Falcon Long Term Repository — Application Search (Довгостроковий репозиторій Falcon – Пошук додатків)
#event_simpleName=/^(PeVersionInfo|ProcessRollup2)$/ AND (event_platform=Win ImageFileName=/\3CXDesktopApp.exe$/i) OR (event_platform=Mac ImageFileName=//3CXsDesktopsApp/i)| ImageFileName = /.+(\|/)(?.+)$/i| groupBy([event_platform, FileName, SHA256HashData], function=count(aid, distinct=true, as=endpointCount))
Atomic Indicators (Атомні індикатори)
Наступні домени були помічені як маячки, що слід розглядати як ознаку зловмисних намірів.
akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
dunamistrd[.]com
glcloudservice[.]com
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
visualstudiofactory[.]com
zacharryblogs[.]com
Користувачі CrowdStrike Falcon® Insight, незалежно від терміну зберігання, можуть перевірити наявність цих доменів у своєму середовищі за останній рік за допомогою Indicator Graph: US-1 | US-2 | EU | Gov.
Event Search — Domain Search (Пошук подій — Пошук доменів)
event_simpleName=DnsRequest DomainName IN (akamaicontainer.com, akamaitechcloudservices.com, azuredeploystore.com, azureonlinecloud.com, azureonlinestorage.com, dunamistrd.com, glcloudservice.com, journalide.org, msedgepackageinfo.com, msstorageazure.com, msstorageboxes.com, officeaddons.com, officestoragebox.com, pbxcloudeservices.com, pbxphonenetwork.com, pbxsources.com, qwepoi123098.com, sbmsa.wiki, sourceslabs.com, visualstudiofactory.com, zacharryblogs.com)| stats dc(aid) as endpointCount, earliest(ContextTimeStamp_decimal) as firstSeen, latest(ContextTimeStamp_decimal) as lastSeen by DomainName| convert ctime(firstSeen) ctime(lastSeen)
Falcon LTR — Domain Search (Falcon LTR — Пошук домену)
#event_simpleName=DnsRequest| in(DomainName, values=[akamaicontainer.com, akamaitechcloudservices.com, azuredeploystore.com, azureonlinecloud.com, azureonlinestorage.com, dunamistrd.com, glcloudservice.com, journalide.org, msedgepackageinfo.com, msstorageazure.com, msstorageboxes.com, officeaddons.com, officestoragebox.com, pbxcloudeservices.com, pbxphonenetwork.com, pbxsources.com, qwepoi123098.com, sbmsa.wiki, sourceslabs.com, visualstudiofactory.com, zacharryblogs.com])| groupBy([DomainName], function=([count(aid, distinct=true, as=endpointCount), min(ContextTimeStamp, as=firstSeen), max(ContextTimeStamp, as=lastSeen)]))| firstSeen := firstSeen * 1000 | formatTime(format="%F %T.%L", field=firstSeen, as="firstSeen")| lastSeen := lastSeen * 1000 | formatTime(format="%F %T.%L", field=lastSeen, as="lastSeen")| sort(endpointCount, order=desc)
Деталі файлу
| SHA256 | ОС | Інсталятор SHA256 | Назва файлу |
|---|---|---|---|
| dde03348075512796241389dfea5560c20 a3d2a2eac95c894e7bbed5e85a0acc | Windows | aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a 8edcf9be345823b4fdcf5d868 | 3cxdesktopapp-18.12.407.msi |
| fad482ded2e25ce9e1dd3d3ecc3227af714b dfbbde04347dbc1b21d6a3670405 | Windows | 59e1edf4d82fae4978e97512b0331b7eb21dd4 b838b850ba46794d9c7a2c0983 | 3cxdesktopapp-18.12.416.msi |
| 92005051ae314d61074ed94a52e76b1c3e21 e7f0e8c1d1fdd497a006ce45fa61 | macOS | 5407cda7d3a75e7b1e030b1f33337a56f29357 8ffa8b3ae19c671051ed314290 | 3CXDesktopApp-18.11.1213.dmg |
| b86c695822013483fa4e2dfdf712c5ee777d7 b99cbad8c2fa2274b133481eadb | macOS | e6bbc33815b9f20b0cf832d7401dd893fbc467 c800728b5891336706da0dbcec | 3cxdesktopapp-latest.dmg |
Рекомендації
Поточна рекомендація для всіх клієнтів CrowdStrike така:
- Визначте наявність програмного забезпечення 3CXDesktopApp у вашому середовищі за допомогою запитів, описаних вище.
- Переконайтеся, що Falcon розгорнуто у відповідних системах.
- Переконайтеся, що “Підозрілі процеси” (Suspicious Processes) увімкнені у відповідних політиках запобігання.
- Шукайте наявність атомних індикаторів у сторонніх інструментах (якщо такі використовуються).
Дізнатися більше про рішення CrowdStrike
UPDATE
Після аналізу та зворотного інжинірингу командою CrowdStrike Intelligence, виявлено, що підписаний MSI (aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868) є зловмисним.
MSI скидає три файли, основним з яких є скомпрометований двійковий файл ffmpeg.dll (7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896).
Після активації структура маячка HTTPS і ключ шифрування збігаються з тими, що спостерігалися CrowdStrike під час кампанії 7 березня 2023 року, яка з високою ймовірністю пов’язана із суб’єктом загрози, пов’язаним з КНДР, – LABYRINTH CHOLLIMA.
Всі клієнти Falcon можуть переглянути профіль зловмисника на LABYRINTH CHOLLIMA (US-1 | US-2 | EU-1 | US-GOV-1)
CrowdStrike рекомендує видалити програмне забезпечення 3CX з кінцевих точок, доки постачальник не повідомить, що майбутні інсталяції та збірки є безпечними.
Користувачі Falcon Spotlight можуть шукати CVE-2023-3CX для виявлення вразливих версій програмного забезпечення 3CX. Spotlight автоматично виділить цю вразливість у вашій стрічці вразливостей.
iIT Distribution – офіційний дистриб’ютор рішень компанії CrowdStrike. Наші партнери, клієнти та організації будь-якого масштабу можуть отримати доступ до високоефективних продуктів CrowdStrike, зробивши запит пробної версії на нашому сайті. Залишайтеся в безпеці!
