1 0 A 3CX divulgou um relatório provisório sobre as descobertas da Mandiant relacionadas ao comprometimento que a empresa sofreu no mês passado, o que resultou em um ataque à cadeia de suprimentos visando empresas de criptomoedas.
Eles descobriram que:
- Os invasores infectaram sistemas 3CX direcionados com o malware TAXHAUL (também conhecido como “TxRLoader”), que descriptografa e executa o shellcode contido em um arquivo com um nome e local destinados a combiná-lo com instalações padrão do Windows.
- O shellcode executado é o downloader do COLDCAT
- Eles também encontraram o SIMPLESEA – um backdoor do macOS – com execução de comandos, transferência de arquivos, execução de arquivos, gerenciamento de arquivos e recursos de atualização de configuração
“No Windows, o invasor usou o side-loading de DLL para obter persistência para o malware TAXHAUL. O side-loading da DLL acionou sistemas infectados para executar o malware do invasor dentro do contexto de binários legítimos do Microsoft Windows, reduzindo a probabilidade de detecção de malware. O mecanismo de persistência também garante que o malware invasor seja carregado na inicialização do sistema, permitindo que o invasor mantenha o acesso remoto ao sistema infectado pela Internet”, explicou Pierre Jourdan, CISO da empresa.
“O malware foi nomeado C:\Windows\system32\wlbsctrl.dll para imitar o binário legítimo do Windows de mesmo nome. A DLL foi carregada pelo serviço legítimo do Windows IKEEXT através do svchost binário legítimo do Windows.exe.”
Mandiant ainda atribui a atividade a um agente de ameaça com um nexo norte-coreano.
Como observado anteriormente, o arquivo DLL usado para sideload foi assinado pela Microsoft e a assinatura não foi invalidada uma vez que o arquivo foi modificado porque os invasores exploraram o CVE-2013-3900. (A Microsoft republicou a vulnerabilidade na terça-feira, mas a correção ainda é opcional.)
Uma nova versão 3CX PWA
O CEO Nick Galea anunciou uma atualização de segurança da versão progressiva do aplicativo web progressivo (PWA) do software 3CX, que permite aos usuários usar o 3CX de qualquer navegador.
A nova versão fará o hash de todas as senhas da Web no sistema.
“Isso não significa que [as senhas] eram completamente inseguras antes. Você ainda precisava de direitos de administrador para acessá-los. Mas não é uma boa prática e tem sido objeto do CVE-2021-45491“, disse ele.
“Embora lancemos uma nova versão do DesktopApp em breve, ainda acreditamos que, por razões de gerenciamento de rede, é bom usar o aplicativo PWA sempre que possível. Todos os usuários que usam um telefone de mesa ou um aplicativo Android / iOS para a chamada real devem usar o cliente PWA.”
A empresa também removerá a senha do cliente da Web e do arquivo de configuração dos e-mails de boas-vindas e fornecerá a opção de restringir o acesso à seção Administrador no cliente da Web por endereço IP.
FONTE: HELPNET SECURITY
