11:26
30/3/2023

3CX zhackowane!

Dostawca oprogramowania telefonicznego, m.in. aplikacji/softphone VoIP został zhackowany. Jeśli korzystacie z jego oprogramowania, też możecie mieć problem, bo atakujący zmodyfikowali aktualizację i w ten sposób złośliwy kod przeniknął na komputery klientów 3CX. Firma zaleca odinstalowanie swojej aplikacji.

Jak ich zhackowano?

3CX w swoim komunikacie jakoś tak dookoła pisze o problemie. Że “antywirusy oflagowały ich aktualizację 18.12.407 i 18.12.416 jako złośliwe“, że “problemem wydaje się być bibliotek którą wkompilowaliśmy w aplikację z Gita“. Dodaje, że domeny z którymi kontaktował się złośliwy kod zostały w nocy ubite, a repo ze złośliwą biblioteką zdjęte.

Mimo to, firma uważa że:

this appears to have been a targeted attack from an Advanced Persistent Threat, perhaps even state sponsored, that ran a complex supply chain attack and picked who would be downloading the next stages of their malware. The vast majority of systems, although they had the files dormant, were in fact never infected.

Choć 3CX twierdzi, że problem dotyczy tylko aplikacji na Windows, to Crowdstrike informuje, że złośliwą aktywność zaobserwował także w przypadku aplikacji na MacOS.

Na razie nie wiadomo, którzy z klientów 3CX zostali zhackowani, ale atak najprawdopodobniej nie miał na celu masowych działań — był ukierunkowany na konkretną grupę odbiorców. Crowdstrike wskazuje, że sposób działania pasuje do rządowych hackerów z Północnej Korei.

Korzystam z 3CX — co robić, jak żyć?

Sprawdźcie w logach, czy z Waszej sieci nie następowały próby połączenia do następujących domen:

akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
dunamistrd[.]com
glcloudservice[.]com
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
visualstudiofactory[.]com
zacharryblogs[.]com

A jak nie jesteście w stanie tego zrobić, to zacznijcie się zastanawiać, czy przypadkiem nie przyszła pora na uporządkowanie bezpieczeństwa i monitoringu w swoich firmowych sieciach

To kolejny przykład ataku na łańcuch dostaw. Włamywacze najpierw przejęli infrastrukturę dostawcy, z którego korzystają docelowe ofiary, aby — za pomocą aktualizacji wiarygodnego oprogramowania — uzyskać dostęp do ich sieci.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

4 komentarzy

Dodaj komentarz
  1. Ładnie dobrana lista domen. Ktoś to dobrze przemyślał.

  2. > We strongly suggest that you use our PWA app instead. The PWA app is completely web based and does 95% of what the electron app does.

    Czyli znowu atak na repozytoria NodeJS… Mam wrażenie, ze zarządzanie pakietami wielu języków jest FUBAR. Node, Python… Chyba tylko Golang stara się to trochę uszczelnić u siebie.

  3. Przypomnieliście mi, że muszę im zgłosić zerodaya, chyba równie groźnego, a może bardziej. Wyglada to na dobry moment.

  4. Jeśli faktycznie przyczyną jest biblioteka, to użycie menadżerów zależności bez szeroko zakrojonych testów na obecność malware zaczyna być niebezpieczne. Konia z rzędem temu, kto takie testy podczas aktualizacji zależności przeprowadza.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: