3CX에 대한 공급망 공격은 수백만 명의 사용자에게 영향을 미칩니다.
두 보안 회사가 유명 통신 소프트웨어 제공업체인 3CX에 대한 공급망 공격을 탐지했습니다.
이 멀웨어는 Windows Electron 클라이언트를 감염시켰지만 버전 7로 업데이트한 고객에게만 해당됩니다. 이 공격은 일주일 전에 처음 발견되었습니다. 보안 회사인 SentinelOne은 3CX DesktopApp 멀웨어를 발견했으며, 이는 다단계 공격의 첫 단계에 불과하다고 밝혔습니다.
이 멀웨어는 Github에서 base64 데이터가 추가된 ICO 파일을 가져와 세 번째 단계로 이동하여 인포스틸러 DLL로 이어집니다. 공격자가 감염된 다운스트림 고객을 선별하고 향후 작업을 실행할 수 있도록 브라우저 데이터와의 인터페이스를 결정하기 위해 DLL을 분석하고 있습니다. 영향을 받는 소프트웨어는 데스크톱 클라이언트이므로 업데이트될 때까지 클라이언트 대신 프로그레시브 웹 앱을 사용하는 것이 좋습니다.
3CX의 CEO인 닉 갈레아는 감염 사실을 확인하고 고객들에게 감염된 데스크톱 클라이언트 대신 PWA 클라이언트를 사용하도록 권고했습니다. 매일 1,200만 명 이상의 사용자를 보유하고 있으며 메르세데스 벤츠, 맥도날드, BMW, 홀리데이 인, NHS, 아메리칸 익스프레스, 코카콜라, 에어프랑스 등 주요 기업을 비롯한 다양한 업계에 서비스를 제공하고 있습니다.
Crowdstrike는 윈도우와 맥에서도 유사한 활동을 발견했으며, 이 공격이 라자루스의 하위 조직인 북한의 라비린스 촐리마의 소행으로 의심하고 있습니다. 이 그룹은 주로 미군과 한국군을 겨냥한 스파이 활동을 수행합니다.
3CX 고객들은 의심스러운 활동, 영향을 받은 파일 및 디렉토리의 긴 목록, 정리를 수행하기 위한 셸 스크립트를 보고했습니다. 이러한 포럼 게시물은 3월 22일부터 시작되었으며, 침입에 대해 경고하고 있습니다. 공급망 공격은 2020년 솔라 윈드 사건 이후 점점 더 큰 위협이 되고 있습니다. 3CX 공격은 솔라 윈드 사건과 그 뒤를 이은 카세야 사태 이후 가장 두드러진 공격입니다.
3CX 데스크톱 클라이언트 멀웨어는 브라우저 기록, Firefox의 장소 테이블 데이터 및 Chrome 기록 테이블을 포함하여 Chrome, Edge, Brave 및 Firefox에서 정보를 수집합니다. 공급망 공격은 어느 회사에서나 발생할 수 있으며 수백만 명의 사용자에게 영향을 미칠 수 있다는 점에 유의하는 것이 중요합니다.
이 공격에 대응하기 위해 3CX는 몇 시간 내에 출시할 예정인 데스크톱 앱 업데이트를 준비 중입니다. 또한 BLF를 즉시 해결하고 가능한 경우 핫키도 해결하고 있습니다. 새 빌드가 출시될 때까지 3CX는 영향을 받은 일렉트론 클라이언트 대신 PWA 클라이언트를 사용할 것을 강력히 권장합니다.
이 글의 출처는 TheRegister의 기사입니다.