-
09/04/2020
-
85
-
553 bài viết
Cảnh báo: Tấn công chuỗi cung ứng 3CXDesktopApp, hàng trăm nghìn khách hàng bị ảnh hưởng
Lưu ý! Đây không phải là Cá tháng Tư!
Một chiến dịch tấn công chuỗi cung ứng nghiêm trọng nhằm vào bản cập nhật của ứng dụng 3CXDesktopApp trên cả Windows và macOS vừa được phát hiện. Vụ việc làm gợi nhớ đến cuộc tấn công nhắm vào Solarwinds hay Kaseya xảy ra năm 2020 và 2021.
3CXDesktopApp là ứng dụng dành cho người dùng trên desktop cung cấp các tính năng như quản trị cuộc gọi qua giao thức VoIP, tích hợp live chat, CRM (quản trị khách hàng)... Ứng dụng này có sẵn trên các hệ điều hành phổ biến hiện nay gồm Windows, macOS và Linux.
Công ty 3CX (trụ sở tại Mỹ) hiện có hơn 600.000 khách hàng và 12 triệu người dùng mỗi ngày ở 190 quốc gia, bao gồm những thương hiệu lớn như American Express, BMW, Honda, Ikea, Pepsi, Toyota…
(Ảnh: Medium)
3CX cho biết, cảnh báo đầu tiên về vụ tấn công là ứng dụng của họ bị gắn nhãn “dương tính giả” vào tuần trước nhưng trên thực tế không có phần mềm diệt virus nào trên VirusTotal nhận diện nó là mã độc hay có hành vi đáng ngờ.
Tiếp đó, vào ngày 30/03, các nhà cung cấp giải pháp an ninh cho biết họ đã quan sát thấy các phiên bản cập nhật hợp pháp, ký số bởi 3CXDesktopApp được đóng gói cùng với trình cài đặt độc hại và sau đó gửi đến máy người dùng thông qua quá trình cập nhật tự động hoặc thủ công từ chính công ty này.
Trong phiên bản Windows bị ảnh hưởng, kẻ tấn công đã lây nhiễm các hệ thống 3CX bằng phần mềm độc hại TAXHAUL được tạo để giải mã và tải shellcode có chứa "trình tải xuống đa tính năng" gắn nhãn COLDCAT, sau đó sử dụng kỹ thuật "DLL side-loading" tải một thư viện giả mạo "ffmpeg.dll" tạo ra để đọc shellcode được mã hóa từ một DLL khác có tên "d3dcompiler_47.dll.".
Thư viện DLL thực hiện tiếp việc truy cập kho lưu trữ GitHub để truy xuất tệp ICO chứa URL lưu trữ payload giai đoạn cuối, một trình đánh cắp thông tin (được đặt tên là ICONIC Stealer hoặc SUDDENICON) có khả năng thu thập dữ liệu từ các hệ thống bị xâm nhập, bao gồm cả dữ liệu trình duyệt như Google Chrome, Microsoft Edge, Brave và Mozilla Firefox.
Còn hệ thống macOS bị ảnh hưởng tồn tại một cửa hậu khi nhiễm phần mềm độc hại có tên SIMPLESEA, được viết bằng ngôn ngữ C và sử dụng giao thức HTTP để thực thi các lệnh shell, truyền tệp tin và cập nhật cấu hình.
Nhóm tấn công đã khai thác lỗ hổng CVE-2023-29059 (điểm CVSS 7,8) và lây nhiễm các hệ thống 3CX bằng các loại phần mềm độc hại có liên kết với ít nhất 4 máy chủ C2: azureonlinecloud[.]com, akamaicontainer[.]com, journalide[.]org và msboxonline[.]com.
Theo công ty an ninh mạng CrowdStrike, đây được coi là hành vi gián điệp mạng và quy trách nhiệm cho nhóm tấn công APTLabyrinth Chollima có mối liên hệ với Triều Tiên.
Chiến dịch tấn công này đang được theo dõi với cái tên SmoothOperator. Có thể, tin tặc đã chuẩn bị cơ sở hạ tầng cho việc tấn công vào khoảng tháng 2 năm 2022 và truy cập vào hệ thống 3CX ít nhất từ tháng 11 đến 12 năm 2022.
Các nền tảng bị ảnh hưởng bao gồm các phiên bản framework Electron cho ứng dụng máy tính để bàn 3CX trên cả macOS (phiên bản 18.11.1213, 18.12.402, 18.12.407 và 18.12.416) và Windows (phiên bản 18.12.407 và 18.12.416).
Theo thống kê của WhiteHat, trên thế giới có hơn 240.000 đơn vị đang sử dụng hệ thống và mở ra ngoài Internet, trong đó con số này ở Việt Nam ghi nhận là 318, đa phần là các tổ chức tài chính.
Với mức độ ảnh hưởng của chiến dịch tấn công này, WhiteHat khuyến cáo các đơn vị đang sử dụng phần mềm 3CX cần thực hiện rà soát hệ thống và ngay lập tức cập nhật phiên bản mới nhất đối với Mac Desktop App là 18.12.422 và Windows Desktop App là18.12.422 theo hướng dẫn tại đây.
3CX cũng cho biết Microsoft Windows Defender sẽ tự động gỡ cài đặt ứng dụng đối với người dùng đang chạy phần mềm này. Những khách hàng muốn sử dụng ứng dụng có thể chuyển sang 3CX trên web, sử dụng PWA thay cho Electron APP (lưu ý PWA chỉ hoạt động trên Google Chrome và Microsoft Edge - không hoạt động trên Safari hoặc Firefox).
Liên tiếp trong những năm gần đây, các doanh nghiệp cung cấp phần mềm lớn của Mỹ đang trở thành mục tiêu của hacker khi các sản phẩm của họ tiếp cận đến hàng triệu đối tác cũng như khách hàng trên toàn thế giới, bao gồm cả các cơ quan chính phủ nước này.
Vụ việc 3CX vừa qua cũng gợi cho chúng ta nhớ đến 2 cuộc tấn công chuỗi cung ứng “chấn động” là SolarWinds năm 2020 (phần mềm giám sát Orion) khi ảnh hưởng cả đến Bộ Tài chính, Bộ Tư pháp và Bộ Năng lượng và Lầu Năm Góc... hay Kaseya năm 2021 (phần mềm Kaseya VSA quản trị mạng máy tính từ xa) khi dính mã độc ransomware và bị đòi số tiền chuộc khổng lồ.
Các vụ việc nghiêm trọng đến mức Tổng thống Mỹ Joe Biden vào tháng 5 năm 2021 đã phải ban hành một lệnh hành pháp, trong đó đưa ra các yêu cầu cần phải tuân thủ nghiêm ngặt để củng cố an ninh cho chuỗi cung ứng phần mềm trước khi "xuất xưởng" nhưng có vẻ vẫn chưa khiến các doanh nghiệp Mỹ nâng cao trách nhiệm đối với những khách hàng mà mình phục vụ.
Bản cập nhật phần mềm luôn là điểm yếu của cuộc sống số và việc tăng cường các biện pháp an ninh, bảo vệ khách hàng là yêu cầu bắt buộc đối với mọi doanh nghiệp cung ứng phần mềm hiện nay.
Một chiến dịch tấn công chuỗi cung ứng nghiêm trọng nhằm vào bản cập nhật của ứng dụng 3CXDesktopApp trên cả Windows và macOS vừa được phát hiện. Vụ việc làm gợi nhớ đến cuộc tấn công nhắm vào Solarwinds hay Kaseya xảy ra năm 2020 và 2021.
3CXDesktopApp là ứng dụng dành cho người dùng trên desktop cung cấp các tính năng như quản trị cuộc gọi qua giao thức VoIP, tích hợp live chat, CRM (quản trị khách hàng)... Ứng dụng này có sẵn trên các hệ điều hành phổ biến hiện nay gồm Windows, macOS và Linux.
Công ty 3CX (trụ sở tại Mỹ) hiện có hơn 600.000 khách hàng và 12 triệu người dùng mỗi ngày ở 190 quốc gia, bao gồm những thương hiệu lớn như American Express, BMW, Honda, Ikea, Pepsi, Toyota…
(Ảnh: Medium)
3CX cho biết, cảnh báo đầu tiên về vụ tấn công là ứng dụng của họ bị gắn nhãn “dương tính giả” vào tuần trước nhưng trên thực tế không có phần mềm diệt virus nào trên VirusTotal nhận diện nó là mã độc hay có hành vi đáng ngờ.
Tiếp đó, vào ngày 30/03, các nhà cung cấp giải pháp an ninh cho biết họ đã quan sát thấy các phiên bản cập nhật hợp pháp, ký số bởi 3CXDesktopApp được đóng gói cùng với trình cài đặt độc hại và sau đó gửi đến máy người dùng thông qua quá trình cập nhật tự động hoặc thủ công từ chính công ty này.
Trong phiên bản Windows bị ảnh hưởng, kẻ tấn công đã lây nhiễm các hệ thống 3CX bằng phần mềm độc hại TAXHAUL được tạo để giải mã và tải shellcode có chứa "trình tải xuống đa tính năng" gắn nhãn COLDCAT, sau đó sử dụng kỹ thuật "DLL side-loading" tải một thư viện giả mạo "ffmpeg.dll" tạo ra để đọc shellcode được mã hóa từ một DLL khác có tên "d3dcompiler_47.dll.".
Thư viện DLL thực hiện tiếp việc truy cập kho lưu trữ GitHub để truy xuất tệp ICO chứa URL lưu trữ payload giai đoạn cuối, một trình đánh cắp thông tin (được đặt tên là ICONIC Stealer hoặc SUDDENICON) có khả năng thu thập dữ liệu từ các hệ thống bị xâm nhập, bao gồm cả dữ liệu trình duyệt như Google Chrome, Microsoft Edge, Brave và Mozilla Firefox.
Còn hệ thống macOS bị ảnh hưởng tồn tại một cửa hậu khi nhiễm phần mềm độc hại có tên SIMPLESEA, được viết bằng ngôn ngữ C và sử dụng giao thức HTTP để thực thi các lệnh shell, truyền tệp tin và cập nhật cấu hình.
Nhóm tấn công đã khai thác lỗ hổng CVE-2023-29059 (điểm CVSS 7,8) và lây nhiễm các hệ thống 3CX bằng các loại phần mềm độc hại có liên kết với ít nhất 4 máy chủ C2: azureonlinecloud[.]com, akamaicontainer[.]com, journalide[.]org và msboxonline[.]com.
Theo công ty an ninh mạng CrowdStrike, đây được coi là hành vi gián điệp mạng và quy trách nhiệm cho nhóm tấn công APTLabyrinth Chollima có mối liên hệ với Triều Tiên.
Chiến dịch tấn công này đang được theo dõi với cái tên SmoothOperator. Có thể, tin tặc đã chuẩn bị cơ sở hạ tầng cho việc tấn công vào khoảng tháng 2 năm 2022 và truy cập vào hệ thống 3CX ít nhất từ tháng 11 đến 12 năm 2022.
Các nền tảng bị ảnh hưởng bao gồm các phiên bản framework Electron cho ứng dụng máy tính để bàn 3CX trên cả macOS (phiên bản 18.11.1213, 18.12.402, 18.12.407 và 18.12.416) và Windows (phiên bản 18.12.407 và 18.12.416).
Theo thống kê của WhiteHat, trên thế giới có hơn 240.000 đơn vị đang sử dụng hệ thống và mở ra ngoài Internet, trong đó con số này ở Việt Nam ghi nhận là 318, đa phần là các tổ chức tài chính.
Với mức độ ảnh hưởng của chiến dịch tấn công này, WhiteHat khuyến cáo các đơn vị đang sử dụng phần mềm 3CX cần thực hiện rà soát hệ thống và ngay lập tức cập nhật phiên bản mới nhất đối với Mac Desktop App là 18.12.422 và Windows Desktop App là18.12.422 theo hướng dẫn tại đây.
3CX cũng cho biết Microsoft Windows Defender sẽ tự động gỡ cài đặt ứng dụng đối với người dùng đang chạy phần mềm này. Những khách hàng muốn sử dụng ứng dụng có thể chuyển sang 3CX trên web, sử dụng PWA thay cho Electron APP (lưu ý PWA chỉ hoạt động trên Google Chrome và Microsoft Edge - không hoạt động trên Safari hoặc Firefox).
Liên tiếp trong những năm gần đây, các doanh nghiệp cung cấp phần mềm lớn của Mỹ đang trở thành mục tiêu của hacker khi các sản phẩm của họ tiếp cận đến hàng triệu đối tác cũng như khách hàng trên toàn thế giới, bao gồm cả các cơ quan chính phủ nước này.
Vụ việc 3CX vừa qua cũng gợi cho chúng ta nhớ đến 2 cuộc tấn công chuỗi cung ứng “chấn động” là SolarWinds năm 2020 (phần mềm giám sát Orion) khi ảnh hưởng cả đến Bộ Tài chính, Bộ Tư pháp và Bộ Năng lượng và Lầu Năm Góc... hay Kaseya năm 2021 (phần mềm Kaseya VSA quản trị mạng máy tính từ xa) khi dính mã độc ransomware và bị đòi số tiền chuộc khổng lồ.
Các vụ việc nghiêm trọng đến mức Tổng thống Mỹ Joe Biden vào tháng 5 năm 2021 đã phải ban hành một lệnh hành pháp, trong đó đưa ra các yêu cầu cần phải tuân thủ nghiêm ngặt để củng cố an ninh cho chuỗi cung ứng phần mềm trước khi "xuất xưởng" nhưng có vẻ vẫn chưa khiến các doanh nghiệp Mỹ nâng cao trách nhiệm đối với những khách hàng mà mình phục vụ.
Bản cập nhật phần mềm luôn là điểm yếu của cuộc sống số và việc tăng cường các biện pháp an ninh, bảo vệ khách hàng là yêu cầu bắt buộc đối với mọi doanh nghiệp cung ứng phần mềm hiện nay.
WhiteHat
Chỉnh sửa lần cuối: