Platforma CrowdStrike Falcon wykrywa i zapobiega aktywnej kampanii włamań skierowanej do klientów 3CXDesktopApp

Platforma CrowdStrike Falcon chroni klientów przed tym atakiem i oferuje wykrywanie oparte na wskaźnikach ataku (IOA) oraz wskaźnikach narażenia (IOC), które skierowane są na złośliwe działania związane z 3CX zarówno na macOS, jak i Windows.

Klienci powinni upewnić się, że ich polityki zapobiegawcze są prawidłowo skonfigurowane, a opcja „Podejrzane procesy” jest włączona.

Repozytorium długoterminowe Falcon – Wyszukiwanie aplikacji

#event_simpleName=/^(PeVersionInfo|ProcessRollup2)$/ AND (event_platform=Win ImageFileName=/\3CXDesktopApp.exe$/i) OR (event_platform=Mac ImageFileName=//3CXsDesktopsApp/i)| ImageFileName = /.+(\|/)(?.+)$/i| groupBy([event_platform, FileName, SHA256HashData], function=count(aid, distinct=true, as=endpointCount))

Wskaźniki atomowe

Następujące domeny zostały zaobserwowane jako beaconing, co należy uznać za wskazanie złośliwych intencji.

akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
dunamistrd[.]com
glcloudservice[.]com
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
visualstudiofactory[.]com
zacharryblogs[.]com

Klienci CrowdStrike Falcon® Insight, niezależnie od okresu przechowywania, mogą wyszukiwać obecność tych domen w swoim środowisku w okresie jednego roku, korzystając z Indicator Graph: US-1 | US-2 | EU-1 | US-GOV-1.

Wyszukiwanie zdarzeń – wyszukiwanie domen

event_simpleName=DnsRequest DomainName IN (akamaicontainer.com, akamaitechcloudservices.com, azuredeploystore.com, azureonlinecloud.com, azureonlinestorage.com, dunamistrd.com, glcloudservice.com, journalide.org, msedgepackageinfo.com, msstorageazure.com, msstorageboxes.com, officeaddons.com, officestoragebox.com, pbxcloudeservices.com, pbxphonenetwork.com, pbxsources.com, qwepoi123098.com, sbmsa.wiki, sourceslabs.com, visualstudiofactory.com, zacharryblogs.com)| stats dc(aid) as endpointCount, earliest(ContextTimeStamp_decimal) as firstSeen, latest(ContextTimeStamp_decimal) as lastSeen by DomainName| convert ctime(firstSeen) ctime(lastSeen)

Falcon LTR – wyszukiwanie domen

#event_simpleName=DnsRequest| in(DomainName, values=[akamaicontainer.com, akamaitechcloudservices.com, azuredeploystore.com, azureonlinecloud.com, azureonlinestorage.com, dunamistrd.com, glcloudservice.com, journalide.org, msedgepackageinfo.com, msstorageazure.com, msstorageboxes.com, officeaddons.com, officestoragebox.com, pbxcloudeservices.com, pbxphonenetwork.com, pbxsources.com, qwepoi123098.com, sbmsa.wiki, sourceslabs.com, visualstudiofactory.com, zacharryblogs.com])| groupBy([DomainName], function=([count(aid, distinct=true, as=endpointCount), min(ContextTimeStamp, as=firstSeen), max(ContextTimeStamp, as=lastSeen)]))| firstSeen := firstSeen * 1000 | formatTime(format="%F %T.%L", field=firstSeen, as="firstSeen")| lastSeen := lastSeen * 1000 | formatTime(format="%F %T.%L", field=lastSeen, as="lastSeen")| sort(endpointCount, order=desc)

Obecne zalecenie dla wszystkich klientów CrowdStrike to:

1. Zlokalizuj obecność oprogramowania 3CXDesktopApp w swoim środowisku, korzystając z podanych powyżej zapytań.
2. Upewnij się, że Falcon jest wdrożony na odpowiednich systemach.
3. Upewnij się, że w odpowiednich zasadach zapobiegawczych jest włączona opcja „Podejrzane procesy”.
4. Poszukaj historycznej obecności wskaźników atomowych w narzędziach firm trzecich (jeśli są dostępne).

Dowiedz się więcej o CrowdStrike

iIT Distribution to oficjalny dystrybutor rozwiązań CrowdStrike. Nasi partnerzy, klienci i organizacje wszystkich rozmiarów mogą uzyskać dostęp do wysoce skutecznych produktów CrowdStrike, zamawiając wersję próbną na naszej stronie internetowej. Bądź bezpieczny i chroniony!

Po przeglądzie i inżynierii wstecznej przez zespół CrowdStrike Intelligence stwierdzono, podpisany plik MSI (aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868) jest złośliwy.

Plik MSI spowoduje utworzenie trzech plików, z których kluczowym jest zainfekowany plik wykonywalny ffmpeg.dll (7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896).

Po aktywacji struktura wiadomości HTTPS i klucz szyfrowania są zgodne z tymi, które zostały zaobserwowane przez CrowdStrike w kampanii z 7 marca 2023 roku, której z dużym prawdopodobieństwem przypisuje się aktorowi zagrożenia LABYRINTH CHOLLIMA związanej z Koreą Północną.

Wszyscy klienci Falcon mogą zobaczyć nasz profil aktora dotyczący LABYRINTH CHOLLIMA (US-1 | US-2 | EU-1 | US-GOV-1).

CrowdStrike zaleca usunięcie oprogramowania 3CX z punktów końcowych do czasu otrzymania informacji od dostawcy, że przyszłe instalatory i wersje są bezpieczne.

Klienci Falcon Spotlight mogą wyszukać CVE-2023-3CX, aby zidentyfikować podatne wersje oprogramowania 3CX. Spotlight automatycznie wyróżni tę podatność w Twoim kanałach związanych z podatnościami.