Gli esperti di SOPHOS hanno segnalato che si è verificato un grave incidente di sicurezza che ha coinvolto 3CX, un sistema di comunicazione disponibile come soluzione PBX virtuale gestita o in hosting utilizzato da importanti aziende di 190 paesi in tutto il mondo. Sembra trattarsi di un tipico attacco alla supply chain: i cybercriminali sono stati in grado di aggiungere un file di installazione nell’applicazione desktop che sfrutta un sideloading di DLL per caricare un payload dannoso codificato.
Di seguito il commento di Mat Gangwer, VP, Managed Threat Response di Sophos:
3CX è un sistema telefonico aziendale ampiamente utilizzato in tutto il mondo. Gli autori dell’attacco sono riusciti a manipolare l’applicazione per aggiungere un programma di installazione che utilizza il sideloading di DLL per recuperare un payload dannoso e codificato. Le tattiche e le tecniche utilizzate non sono nuove, in quanto sono simili alle attività di DLL sideloading già rilevate in precedenza. I nostri esperti hanno identificato tre dei componenti cruciali di questo scenario di sideloading DLL incorporati nel pacchetto del fornitore. Continueremo a fornire aggiornamenti sull’evolversi della situazione.
Nel frattempo, Sophos ha bloccato l’attività dannosa pubblicando la seguente protezione: Troj/Loader-AF, bloccando l’elenco dei domini C2 noti associati alla minaccia. Inoltre, continueremo ad aggiungerne altri nel file IOC sul nostro GitHub. Raccomandiamo inoltre agli utenti di controllare il blog di 3CX per eventuali comunicazioni ufficiali da parte dell’azienda”.
Maggiori informazioni in questo articolo.
Lascia un commento