В хакерской атаке на 3CX использовали ошибку Windows 10-летней давности с исправлением "opt-in"

Уязвимость Windows 10-летней давности все еще используется в атаках, чтобы создать впечатление, что исполняемые файлы подписаны законным образом, при этом исправление от Microsoft все еще "доступно" по прошествии всех этих лет. Что еще хуже, уже установленный патч удаляется после обновления до Windows 11.

В среду вечером появились новости о том, что компания VoIP-связи 3CX была скомпрометирована для распространения троянских версий своего настольного приложения для Windows в ходе крупномасштабной атаки на цепочку поставок.

В рамках этой атаки по цепочке поставок две библиотеки DLL, используемые настольным приложением Windows, были заменены вредоносными версиями, которые загружают на компьютеры дополнительные вредоносные программы, такие как троян, крадущий информацию.

Одна из вредоносных библиотек DLL, используемых в атаке, обычно является легальной библиотекой DLL, подписанной Корпорацией Майкрософт с именем d3dcompiler_47.dll . Однако участники угрозы изменили библиотеку DLL, включив зашифрованную вредоносную полезную нагрузку в конец файла.

Как впервые было отмечено вчера, несмотря на то, что файл был изменен, Windows по-прежнему показывала его как корректно подписанный Microsoft.


Код, подписывающий исполняемый файл, такой как DLL или EXE-файл, предназначен для того, чтобы гарантировать пользователям Windows, что файл является подлинным и не был изменен с целью включения вредоносного кода.

При изменении подписанного исполняемого файла Windows отобразит сообщение о том, что "цифровая подпись объекта не была проверена". Однако, даже несмотря на то, что мы знаем, что d3dcompiler_47.dll Библиотека DLL была изменена, она по-прежнему отображалась как подписанная в Windows.

После обращения к Уиллу Дорманну, старшему аналитику уязвимостей в ANALYGENCE, по поводу такого поведения и совместного использования библиотеки DLL, нам сказали, что библиотека DLL использует недостаток CVE-2013-3900, "уязвимость проверки подписи WinVerifyTrust".

Корпорация Майкрософт впервые раскрыла эту уязвимость 10 декабря 2013 года и объяснила, что добавление содержимого в раздел подписи authenticode EXE-файла (структура WIN_CERTIFICATE) в подписанном исполняемом файле возможно без аннулирования подписи.

Например, Дорманн объяснил в твиттере, что установщик Google Chrome добавляет данные в структуру Authenticode, чтобы определить, выбрали ли вы "отправку статистики использования и отчетов о сбоях в Google". Когда Google Chrome будет установлен, он проверит подпись authenticode для этих данных, чтобы определить, следует ли включать диагностические отчеты.

В конечном счете Microsoft решила сделать исправление необязательным, вероятно, потому, что это сделало бы недействительными легальные подписанные исполняемые файлы, которые хранили данные в блоке подписи исполняемого файла.

"10 декабря 2013 года Microsoft выпустила обновление для всех поддерживаемых выпусков Microsoft Windows, которое изменяет способ проверки подписей для двоичных файлов, подписанных в формате подписи Windows Authenticode", - объясняет раскрытие Microsoft для CVE-2013-3900.

"Это изменение может быть включено на основе подписки".

"При включении обновления алгоритм для проверки подписи Windows Authenticode больше не будет допускать постороннюю информацию в структуре WIN_CERTIFICATE, и Windows больше не будет распознавать несоответствующие двоичные файлы как подписанные".

Сейчас, почти десять лет спустя, известно, что уязвимостью пользуются многочисленные субъекты угроз. Тем не менее, это остается необязательным исправлением, которое можно включить, только вручную отредактировав реестр Windows.

Чтобы включить исправление, пользователи Windows в 64-разрядных системах могут внести следующие изменения в реестр:

Как только эти разделы реестра будут включены, вы сможете увидеть, насколько по-разному Microsoft проверяет подпись в вредоносном d3dcompiler_47.dll Библиотека DLL, используемая в атаке на цепочку поставок 3CX.

До включения проверки

После включения проверки

Что еще хуже, даже если вы добавите разделы реестра для применения исправления, они будут удалены после обновления до Windows 11, что снова сделает ваше устройство уязвимым.


Поскольку уязвимость использовалась в недавних атаках, таких как цепочка поставок 3CX и кампания по распространению вредоносного ПО Zloader в январе, стало ясно, что ее следует исправить, даже если это доставляет неудобства разработчикам.

К сожалению, большинство из них не знают об этой проблеме и будут смотреть на вредоносный файл и предполагать, что он заслуживает доверия, поскольку Windows сообщает об этом как о таковом.

"Но когда исправление является необязательным, массы не будут защищены", - предупредил Дорманн.

Я включил дополнительное исправление, пользовался компьютером как обычно в течение дня и не столкнулся ни с какими проблемами, которые заставили бы меня пожалеть о своем решении.

Хотя это может вызвать проблему с тем, что некоторые установщики, такие как Google Chrome, не отображают назначенное, дополнительная защита стоит причиненных неудобств.

BleepingComputer обратился в Microsoft по поводу продолжающегося злоупотребления этой уязвимостью и того, что это всего лишь добровольное исправление, но ответа не получил.

31.03.2023
https://www.bleepingcomputer.com/ne...-bug-with-opt-in-fix-exploited-in-3cx-attack/​

 

Аналитики компаний CrowdStrike и SentinelOne обнаружили неожиданную вредоносную активность в подписанной версии десктопного приложения 3CX VoIP. Судя по всему, произошла атака на цепочку поставок, и теперь приложение 3CX используется для атак на миллионы клиентов компании.

3CX — разработчик VoIP-решений, чья 3CX Phone System используется более чем 600 000 компаниями по всему миру, насчитывая более 12 000 000 пользователей ежедневно. В списке клиентов компании числятся такие гиганты, как American Express, Coca-Cola, McDonald's, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA и HollidayInn.


Согласно данным ИБ-экспертов, злоумышленники атакуют пользователей скомпрометированного софтофона как в Windows, так и в macOS.

«Вредоносная активность включает в себя имплантацию “маячка”, который связывается с инфраструктурой злоумышленников, развертывание полезной нагрузки второго этапа и, в небольшом числе случаев, “ручную” активность [хакеров]», — говорят в CrowdStrike.

Специалисты компании Sophos добавляют, что после эксплуатации атакующие в основном создают в системах жертв интерактивные командные шеллы.

Тогда как аналитики CrowdStrike подозревают, что за этой атакой стоит северокорейская хак-группа Labyrinth Collima, исследователи Sophos говорят, что они «не могут установить атрибуцию с достаточной степенью достоверности».

Активность Labyrinth Collima обычно пересекается с другими группировками, которые отслеживаются под названиями Lazarus Group «Лабораторией Касперского», Covellite экспертами Dragos, UNC4034 специалистами Mandiant, Zinc в классификации Microsoft и Nickel Academy аналитиками Secureworks.

В SentinelOne обнаруженную атаку на цепочку поставок назвали SmoothOperator. В компании пишут, что атака начинается, когда установщик MSI загружается с сайта 3CX, или когда для уже установленного десктопного приложения скачивается обновление.



При установке MSI или обновления извлекаются вредоносные DLL-файлы ffmpeg.dll и d3dcompiler_47.dll, которые используются для следующего этапа атаки. Хотя в Sophos говорят, что сам исполняемый файл 3CXDesktopApp.exe не является вредоносным, вредоносная DLL ffmpeg.dll будет загружена и использована для извлечения зашифрованной полезной нагрузки из d3dcompiler_47.dll и ее выполнения.

После этого малварь будет загружать файлы иконок, размещенные на GitHub, в которых содержатся закодированные base64 строки, добавленные в конец файлов изображений, как показано в примере ниже.



Репозиторий на GitHub, в котором хранятся эти иконки, показывает, что первый файл был загружен 7 декабря 2022 года.

Упомянутые строки base64 используются для доставки финальной полезной нагрузки на скомпрометированные устройства. В роли конечного пейлоада выступает ранее неизвестное вредоносное ПО для кражи информации, загружаемое в виде DLL. Эта малварь способна собирать системную информацию, а также воровать сохраненные логины и пароли из профилей в браузерах Chrome, Edge, Brave и Firefox.

«В настоящее время мы не можем подтвердить, что установщик для Mac троянизирован. Наше текущее расследование включает в себя дополнительные приложения, в том числе, расширение для Chrome, которые тоже могут использоваться для атак, — пишут эксперты. — Злоумышленники создали обширную инфраструктуру, начиная с февраля 2022 года, но мы пока не видим очевидных связей с известными кластерами угроз».

CrowdStrike сообщает, что вредоносная версия клиента 3CX будет подключаться к одному из следующих доменов, контролируемых злоумышленниками:

akamaicontainer[.]com msedgepackageinfo[.]com
akamaitechcloudservices[.]com msstorageazure[.]com
azuredeploystore[.]com msstorageboxes[.]com
azureonlinecloud[.]com officeaddons[.]com
azureonlinestorage[.]com officestoragebox[.]com
dunamistrd[.]com pbxcloudeservices[.]com
glcloudservice[.]com pbxphonenetwork[.]com
qwepoi123098[.]com zacharryblogs[.]com
sbmsa[.]wiki pbxsources[.]com
sourceslabs[.]com journalide[.]org
visualstudiofactory[.]com


Ряд клиентов на форумах 3CX заявили, что еще неделю назад, 22 марта 2023 года, они получали оповещения о том, что их клиентское приложение 3CX помечено как вредоносное защитными продуктами SentinelOne, CrowdStrike, ESET, Palo Alto Networks и SonicWall. Предупреждения появлялись после установки 3CXDesktopApp версий 18.12.407 и 18.12.416 для Windows, а также версии 18.11.1213 для Mac.

При этом один из зараженных образов софтофона 3CX, попавший в руки аналитиков CrowdStrike, подписан цифровой подписью более трех недель назад (3 марта 2023 года) и имеет легитимный сертификатом 3CX Ltd, выданный DigiCert.

Представители 3CX пока никак не прокомментировали происходящее. При этом еще недавно в компании уверяли клиентов, которые жаловались на предупреждения от антивирусных продуктов, что это, скорее всего, просто ложные срабатывания.

29.03.2023
https://xakep.ru/2023/03/30/3cx-compromised/​