Севернокорейски хакери атакуваха стотици хиляди компании

Популярни VoIP приложения бяха използвани за глобална хакерска атака
(снимка: CC0 Public Domain)

Специалисти по информационна сигурност съобщиха за мащабна хакерска атака срещу потребители на приложенията за VoIP телефония на 3CX Phone. Нападателите от групата Labyrinth Chollima, за която се твърди, че е свързана с правителството на Северна Корея, са интегрирали троянски кон в приложенията на 3CX за Windows и macOS, използвани от повече от 600 000 компании по света.

Според наличните данни, хакерите са успели да компрометират системата на 3CX за създаване и разпространение на нови версии на софтуерните продукти на компанията за платформи Windows и macOS. Контролът върху тази система дава възможност на атакуващите да скрият троянски кон в легални приложения за VoIP телефония, подписани с валиден 3CX сертификат.

Поради това милиони потребители могат да бъдат изложени на риск, тъй като приложенията на 3CX се използват от компании от цял ​​свят, включително American Express, Mercedes-Benz, Price Waterhouse Cooper и други, отбелязва ArsTechnica в публикация за кибератаката. Компрометирани са версиите на приложенията, пуснати през март тази година – 18.12.407 и 18.12.416 за Windows, 18.11.1213, 18.12.402, 18.12.407 и 18.12.416 за macOS.

Механизмът за атака се задейства, когато потребител изтегли MSI инсталатор от уебсайта на 3CX или пакет за актуализация. По време на инсталационния процес се извличат няколко злонамерени DLL файла, които са необходими за следващия етап на атаката. Въпреки че самият изпълним файл на инсталатора не е злонамерен, споменатите библиотеки се използват за изтегляне, извличане и изпълнение на шифрована полезна информация.

След това ICO файлове с допълнителни редове код се изтеглят от хранилището на GitHub и се използват за доставяне на полезната информация до устройствата на жертвите. Твърди се, че първите ICO файлове са добавени към GitHub през декември миналата година. Що се отнася до самия зловреден софтуер, това е неизвестен досега троянски кон, предназначен да краде информация, включително данни за вход и пароли, съхранявани в уеб браузърите.

В публикация във форума на 3CX изпълнителният директор Ник Галеа се извини за инцидента. Той също така препоръча на потребителите да премахнат версии на приложенията, които са компрометирани от хакерите, и временно да преминат към използване на уеб версията на софтфона.

Коментар