3CXDesktop App usada como Trojan em Ataque de Cadeia de Abastecimento
3CXDesktopApp é um cliente de secretária do sistema 3CX voice over IP (VoIP). A aplicação permite aos utilizadores comunicar dentro e fora da organização através do seu ambiente de trabalho ou dos seus computadores portáteis.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder mundial de soluções de cibersegurança, depararam-se, nos últimos dias, com um acumular de provas de que está a ser descarregada uma versão trojan do cliente original 3CXDesktopApp para vítimas insuspeitas em todo o mundo. Esta aplicação pode gravar chamadas e facilitar as videoconferências e pode ser utilizado em sistemas operativos Windows, macOS e Linux. É uma ferramenta que as empresas utilizam quando têm uma mão-de-obra híbrida ou remota e os seus clientes incluem fornecedores de serviços governamentais como o NHS, bem como grandes empresas incluindo a Coca-Cola, Ikea e Honda.
Como foi referido, a aplicação 3CXDesktopApp está a ser descarregada com uma versão Trojan, afetando as empresas e particulares que usufruem da mesma. A versão usada como trojan inclui um ficheiro DLL malicioso, que substituiu um original que passa por uma versão benigna da aplicação. Depois, quando a aplicação é carregada, o 3CXDesktopApp assinado executa a DLL malicioso como parte do seu procedimento de execução pré-definido.
Isto transformou a inocente e popular aplicação VoIP num malware totalmente explodido, que indica para servidores remotos e capaz de executar malware de segunda fase.
Ataque na cadeia de abastecimento
Este é um ataque clássico à cadeia de abastecimento, embora não haja provas de escrever estas linhas para qualquer intervenção no código fonte do 3CXDesktopApp. E ainda assim, ninguém esperava que a aplicação fosse servida com um implante de malware.
Os ataques à cadeia de abastecimento são concebidos para explorar relações de confiança entre uma organização e as suas partes externas. Estas relações podem incluir parcerias, relações com fornecedores, ou a utilização de software de terceiros. Os atores da ameaça cibernética comprometerão uma organização e depois avançarão na cadeia de fornecimento, tirando partido destas relações de confiança para obter acesso aos ambientes de outras organizações.
Tal junta-se ao armamento de ferramentas legítimas
A camada básica de proteção cibernética é o reconhecimento de ferramentas e comportamentos maliciosos antes de poderem atacar. Os fornecedores de segurança investem recursos substanciais na investigação e mapeamento de tipos e famílias de malware, e a sua atribuição a agentes de ameaça específicos e campanhas associadas, ao mesmo tempo que identificam TTPs (Técnicas, Táticas e Procedimentos) que informam os ciclos de segurança corretos e a política de segurança.
Para combater soluções sofisticadas de cibersegurança, os agentes de ameaças estão a desenvolver e aperfeiçoar as suas técnicas de ataque, que cada vez menos dependem da utilização de malware personalizado e passam a utilizar ferramentas sem assinatura. Utilizam capacidades e ferramentas integradas no sistema operativo, que já estão instaladas em sistemas alvo, e exploram ferramentas populares de gestão de TI que são menos suscetíveis de levantar suspeitas quando detetadas. Também são frequentemente utilizadas ferramentas de pentestesting comercial fora de prateleira e Red Team. Embora não se trate de um fenómeno novo, o que antes era raro e exclusivo para atores sofisticados tornou-se agora uma técnica generalizada adotada por atores ameaçadores de todos os tipos.
Os clientes da Check Point permanecem protegidos
Os ataques na cadeia de abastecimento são uma das formas de ataque mais complexas. Os fornecedores de segurança não podem confiar apenas em soluções baseadas na reputação ou em camadas únicas. Precisam de questionar a atividade tal como vista na rede, pontos finais, servidores e de ligar os pontos.
O Horizon XDR/XPR foi concebido para proporcionar uma prevenção abrangente de ameaças em todo o património de segurança, com a Check Point infinity architecture.
A plataforma bloqueia imediatamente ameaças cibernéticas com origem em qualquer parte do ambiente e impede-as de terem impacto na organização, e de se propagarem através de entidades adicionais. O XDR/XPR representa a sua última linha de defesa cibernética; uma camada adicional de segurança através do seu património de segurança consolidado. O Horizon XDR/XPR previne ataques complexos onde eventos aparentemente benignos em diferentes partes do património de segurança, somam-se a uma ameaça crítica para a sua organização. A plataforma pode automaticamente impedir a propagação de ameaças dentro da sua organização, e fornece uma validação forense clara como validação extra para o utilizador SecOps.
Todas as vulnerabilidades de software e assinaturas de ataque que são encontradas pelo CPR ou vistas na natureza, tais como a versão dotada de trojan do 3CXDesktopApp original, alimentam imediatamente a ThreatCloud (o cérebro por detrás de todos os produtos da Check Point) o que propaga as proteções apropriadas através dos mesmos produtos, de modo a que todos os clientes da Check Point sejam imediatamente protegidos sem necessidade de remendar. Foi exatamente isso que aconteceu neste caso.
Assim que a versão com Trojan do cliente 3CXDesktopApp foi reportada, todas as proteções relevantes foram propagadas através de todos os produtos Check Point
Post A Comment:
0 comments: