В официальном сообщении 3CX практически не приводится никаких деталей, но более подробной информацией об инциденте поделились сразу несколько команд исследователей. Практически все известные на момент публикации данные собраны в издания Ars Technica, краткое описание инцидента также приведено «Лаборатории Касперского». Если коротко: вряд ли организаторы атаки смогли заразить большое количество клиентов 3CX, но тем, кому не повезло, придется долго разбираться с последствиями.
Подготовка к атаке предположительно велась с февраля 2022 года — в это время были зарегистрированы доменные имена, к которым обращается вредоносное ПО. Можно предположить, что уже тогда инфраструктура 3CX была скомпрометирована. 22 марта различные защитные решения зафиксировали, что число детектов клиента для конференц-связи 3CX заметно выросло. В тот же день в Сети пользователи программного обеспечения начали жаловаться на якобы ложноположительные детекты. На самом деле защитное ПО определяло настоящий вредоносный код.
Вредоносное программное обеспечение было подписано легитимным цифровым сертификатом 3CX. Функциональность самой программы для телеконференций была сохранена. В какой-то момент после установки загружалась «лишняя» DLL-библиотека, которая расшифровывала и выполняла следующую часть полезной нагрузки. В этот код была заложена недельная пауза, после которой программа обращалась к репозиторию на Github, загружала список URL и вот уже оттуда устанавливала настоящий бэкдор. Функциональность бэкдора стандартная — кража данных из браузеров, возможность получать команды и выполнять произвольный код. По сути злоумышленникам доставался полный контроль над зараженной системой.
Выше приведено общее описание работы бэкдора под Windows. «Троянизированный» дистрибутив легитимного ПО также распространялся и для Mac OS. Подробное описание первой стадии атаки исследователь Патрик Уордл. Особенность этой атаки в том, что вредоносный клиент прошел процедуру «нотаризации» со стороны Apple, то есть его изучила третья сторона и не заметила в нем лишнюю функциональность.
Оценить последствия атаки пока очень сложно. Нет информации, как много клиентов 3CX успели установить вредоносный клиент или получить «доработанное» обновление. Из приведенных сторонними исследователями данных можно предположить, что окно, в течение которого с серверов 3CX раздавался вредоносный код, было достаточно небольшим — примерно одна неделя в конце марта. Компания рекомендует своим клиентам временно удалить клиент и пользоваться веб-версией сервиса. Но это решит только часть проблемы: если какому-то бизнесу не повезло и бэкдор был установлен на множество рабочих компьютеров, бороться с последствиями такой атаки будет крайне непросто.
Что еще произошло
В этой американских исследователей описывается инфраструктура для генерации рандомных данных, соответствующих структуре видео в формате h.264. Такой видеофаззинг помог обнаружить несколько уязвимостей в декодерах видео, например в iOS и браузере Safari.
Исследователи «Лаборатории Касперского» об эксплуатации протокола IPFS (входит в состав так называемой концепции Web 3.0) для хостинга фишинговых страниц. В другом приводится статистика об эволюции финансового фишинга за 2022 год. Чаще всего злоумышленники пытались украсть учетные записи в сервисе PayPal.
Издание Bleeping Computer о поддельном ransomware: мошенники рассылают компаниям сообщения, в которых угрожают раскрыть якобы украденные приватные данные и требуют от «жертв» выкуп, хотя на самом деле никакого взлома и не было.
