Masowa infekcja oficjalnych binarek oprogramowania 3CX rozpoczęła się od… infekcji oficjalnej instalki innego oprogramowania.

Niedawno donosiliśmy o dość niepokojącej operacji infekcji infrastruktury firmy 3CX, dostarczającej oprogramowanie do obsługi VoIP. TLDR: podmieniono oficjalną binarkę (na taką z backdoorem), a aktualizacja została automatycznie zainstalowana przez klientów…

W trakcie analizy powłamaniowej okazało się, że zaczęło się od infekcji innego oprogramowania:

initial intrusion vector: a malware-laced software package distributed via an earlier software supply chain compromise that began with a tampered installer for X_TRADER, a software package provided by Trading Technologies.

Niepokojące jest to, że appka X_TRADER została ściągnięta przez ofiarę (co ciekawe, na prywatny komputer) z oficjalnej strony producenta (która została zhackowana). Dalej, atakujący buszowali po sieci korporacyjnej, dzięki przejętym danych logowania do VPN (ściągniętym zapewne z zainfekowanego prywatnego komputera)

The earliest evidence of compromise uncovered within the 3CX corporate environment occurred through the VPN using the employee’s corporate credentials two days after the employee’s personal computer was compromised.

Podsumowując, pracownik 3CX ściągnął z oficjalnego źródła zainfekowaną instalkę narzędzia X_TRADER, po czym atakujący wniknęli w infrastrukturę 3CX żeby zainfekować ich oprogramowanie. To z kolei trafiło do klientów…

~ms