Если ваша компания использует в повседневной работе приложение для аудио- и видеоконференци 3CX, то для ваших сисадминов плохие новости — самое время начать аудит инфрструктуру на предмет взлома. На днях было обнаружено, что злоумышленники смогли прямо в дистрибутив на сайте разработчиков встроить вредоносный код. Потенциально он может привезти к потери данным или чего и того хуже.

Разработчики подтвердили, что под удар попали две версии для Windows — 18.12.407 и 18.12.416, а также четыре версии для macOS — 18.11.1213, 18.12.402, 18.12.407 и 18.12.416. При этом отмечается тщательная подготовка злоумышленников к атаке. В конце февраля были запущены домены, на которые стучатся скомпроментированные машины. Сама по себе сборка вредоносного приложения идет аккуратно и в несколько этапов.

Сперва пользователь ставит зараженную версию настольного клиента 3CX и... ничего не происходит. Потом вредоносный файл подгружает извне еще несколько библиотек, внутри которых находится архив с ссылками, откуда загружаются оставшиеся компоненты. Приложение собирается и начинает свою работу.

Вот на этом этапе проблему и заметили: сотрудники ряда компаний сообщили, что у них от инструментов защиты начали приходить уведомления о подозрительной активности... клиента 3CX. Дальнейшее разбирательство и вскрыло всю схему.

Масштабы бедствия еще предстоит оценить. По косвенным уликам эксперты предполагают, что за атакой могут стоять северокорейские хакеры.

Если ваша компания использует в повседневной работе приложение для аудио- и видеоконференци 3CX, то для ваших сисадминов плохие новости — самое время начать аудит инфрструктуру на предмет взлома.

1 минута

2 апреля 2023