El día de ayer, 29 de marzo del presente año, las empresas de ciberseguridad CrowdStrike, Huntress y SentinelOne, han lanzado en sus respectivos blogs, un comunicado sobre una nueva campaña que se estaría realizando para comprometer dispositivos 3CX Desktop App, un producto de software de videoconferencia y voz muy popular, debido a que es un recurso Open Souce.
El cliente PBX 3CX está disponible para Windows, macOS y Linux; también hay versiones móviles para Android e iOS, así como una extensión para Chrome y una versión del cliente basada en el navegador.
Según SentinelOne, el 22 de marzo del presente año, se comenzó a ver un aumento relevante de detecciones que han llegado a comprometer a 3CX Desktop App. También, agregan que el actor de amenazas ha registrado un conjunto de infraestructura en expansión a partir de febrero de 2022, pero aún no se ha visto conexiones obvias con los grupos de amenazas existentes.
Según Sophos, el 22 de marzo, los usuarios de 3CX comenzaron a discutir en foros sobre posibles detecciones de falsos positivos de 3CX Desktop App por parte de sus agentes de seguridad de punto final.
«El software PBX es un objetivo atractivo de la cadena de suministro para los actores de amenazas; Además de monitorear las comunicaciones de una organización, los actores pueden modificar el enrutamiento de llamadas o negociar conexiones en servicios de voz desde el exterior. Ha habido otros casos en los que los actores usan software PBX y VOIP para implementar cargas útiles adicionales, incluida una campaña de 2020 contra teléfonos VOIP Digium que usan una biblioteca PBX vulnerable, FreePBX.» dice SentinelOne.
El modus operandi de la campaña de infección es la siguiente. El víctima descarga una versión de 3CX Desktop App troyanizada, la cual es la primera etapa de una cadena de ataque de varias etapas que extrae archivos ICO, adjuntos con datos en base64 de Github y, en última instancia, conduce a un archivo .DLL para realizar las funciones de robo de información. Informa SentinelOne.
El payload lo han denominado «SmoothOperator«, y permitirá al atacante extraer todos los datos guardados en los navegadores webs, siendo Chrome, Edge, Brave y Firefox los principales en exfiltrar.
Desde Huntress, una empresa de ciberseguridad, a informado en una publicación, el nivel de impacto que puede llegar a tener la aplicación 3CX Desktop con los equipos expuestos actualmente en la red. Para ello, realizaron una búsqueda mediante la plataforma de Shodan, detectando que hay 242.519 sistemas de administración telefónica de 3CX expuestas por Internet.
«El 29 de marzo, numerosos proveedores de EDR y soluciones antivirus comenzaron a activar y marcar en el archivo binario legítimo firmado 3CXDesktopApp.exe. Esta aplicación había iniciado un proceso de actualización que finalmente condujo a un comportamiento malicioso y una comunicación de comando y control con numerosos servidores externos.» Dice Huntress.
«La descarga de 3CX disponible en el sitio web público oficial incluía malware. Las instalaciones ya implementadas se actualizarán y, en última instancia, eliminarán este malware que incluye un archivo DLL como puerta trasera, ffmpeg.dll y un d3dcompiler_47.dll.«
A partir del análisis realizado por Huntress, se ha visto que el archivo «d3dcompiler_47.dll» está firmado por Microsoft, pero contiene un payload incrustada y cifrada. Luego de esto, la puerta trasera no seria ejecutada por 7 días y esperaría hasta realizar una consulta a los servidores C2 externos.
«El retraso de 7 días es peculiar, ya que es posible que no haya visto más indicadores inmediatamente… y puede explicar por qué algunos usuarios aún no han visto actividad maliciosa. (Quizás una observación interesante considerando que estas nuevas actualizaciones maliciosas de 3CX se vieron por primera vez el 22 de marzo, y la industria se enteró de esta actividad maliciosa el 29 de marzo)» dice John Hammond, de Huntress.
Datos en Iberoamérica
En el contexto iberoamericano, el número de países con el portal de administración 3CX expuestos en la red, mediante shodan, son los siguientes:
| Posición | País | Número de Servicio Expuesto |
| 1 | Brasil | 4385 |
| 2 | España | 1304 |
| 3 | México | 547 |
| 4 | Colombia | 357 |
| 5 | Chile | 228 |
| 6 | Argentina | 134 |
| 7 | Uruguay | 90 |
| 8 | Ecuador | 56 |
Datos Críticos
- Más de 600.000 compañías en el mundo utilizan 3CX Desktop App.
- Más de 12.000.000 de usuarios.
- Existe una variante para Windows y MacOS
- El ataque ha sido atribuido a Lazarus Group, APT38, de Corea del Norte.
Recomendación de Seguridad
Las últimas recomendaciones del CEO y el CISO de 3CX son «desinstalar el cliente de escritorio para 3CX«. Informan que están preparando una nueva versión y una actualización de la aplicación 3CX Desktop App que estará disponible pronto.
Indicadores de Compromiso
| URL | github[.]com/IconStorages/images |
| cliego.garcia@proton[.]me | |
| philip.je@proton[.]me | |
| SHA-1 | cad1120d91b812acafef7175f949dd1b09c6c21a |
| SHA-1 | bf939c9c261d27ee7bb92325cc588624fca75429 |
| SHA-1 | 20d554a80d759c50d6537dd7097fed84dd258b3e |
| URI | httxs://akamaitechcloudservices[.]com/v2/storage |
| URI | httxs://azureonlinestorage[.]com/azure/storage |
| URI | httxs://msedgepackageinfo[.]com/microsoft-edge |
| URI | httxs://glcloudservice[.]com/v1/console |
| URI | httxs://pbxsources[.]com/exchange |
| URI | httxs://msstorageazure[.]com/window |
| URI | httxs://officestoragebox[.]com/api/session |
| URI | httxs://visualstudiofactory[.]com/workload |
| URI | httxs://azuredeploystore[.]com/cloud/services |
| URI | httxs://msstorageboxes[.]com/office |
| URI | httxs://officeaddons[.]com/technologies |
| URI | httxs://sourceslabs[.]com/downloads |
| URI | httxs://zacharryblogs[.]com/feed |
| URI | httxs://pbxcloudeservices[.]com/phonesystem |
| URI | httxs://pbxphonenetwork[.]com/voip |
| URI | httxs://msedgeupdate[.]net/Windows |
Referencias
- The latest from 3CX
https://www.3cx.com/blog/news/desktopapp-security-alert-updates/
- CrowdStrike’s original Reddit reporting
https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/ - CrowdStrike’s formal blog post
https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/ - Todyl’s reporting
https://www.todyl.com/blog/post/threat-advisory-3cx-softphone-telephony-campaign - SentinelOne’s reporting
https://s1.ai/smoothoperator - Discussion on the 3CX forum and public bulletin board
- https://www.3cx.com/community/threads/threat-alerts-from-sentinelone-for-desktop-update-initiated-from-desktop-client.119806/post-558710
- https://www.3cx.com/community/threads/3cx-desktop-app-vulnerability-security-group-contact.119930/
- https://www.3cx.com/community/threads/crowdstrike-endpoint-security-detection-re-3cx-desktop-app.119934/#post-558726
- 3CX CEO first official notification
- Nextron System’s Sigma and YARA rules for detection
https://github.com/Neo23x0/signature-base/blob/master/yara/gen_mal_3cx_compromise_mar23.yar - Unofficial OTX AlientVault Pulse
https://otx.alienvault.com/pulse/64249206b02aa3531a78d020 - Kevin Beaumont’s commentary
https://cyberplace.social/@GossiTheDog/110108640236492867 - Patrick Wardle’s commentary on the Mac variant
https://twitter.com/patrickwardle/status/1641294247877021696
https://objective-see.org/blog/blog_0x73.html - Volexity’s timeline, including what each of the icon files were and some of the network indicators
https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident/
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
