3CX es una empresa de desarrollo de software VoIP IPBX cuyo Sistema Telefónico 3CX es utilizado por más de 600.000 empresas alrededor del mundo y tiene más de 12 millones de usuarios diarios. Cabe mencionar que la aplicación 3CX Desktop App está disponible para Windows, macOS, Linux y dispositivos móviles.
Según los investigadores de seguridad de Sophos y CrowdStrike, los atacantes tienen como objetivo a los usuarios de Windows y macOS de la aplicación de softphone 3CX comprometida.
El pasado martes 29 de marzo de 2023, CrowdStrike observó una actividad maliciosa firmada digitalmente y troyana, que proviene del cliente de escritorio 3CX Voice Over Internet Protocol (VOIP), la cual se está utilizando para apuntar a los clientes de la compañía 3CX en un ataque continuo a la cadena de suministro.
El equipo de inteligencia de CrowdStrike menciona que “la actividad maliciosa incluye la señalización a la infraestructura controlada por el actor, el despliegue de cargas útiles de segunda etapa y, en una pequeña cantidad de casos, la actividad práctica del teclado”.
Sophos comenta que “la actividad posterior a la explotación más común observada hasta la fecha es la generación de un shell de comando interactivo”.
Indicadores de compromiso
En los siguientes dominios se han observado beaconing, técnica que permite demostrar conocimiento de que cierta información protegida ha salido de una red o zona de confianza autorizada, lo que puede considerarse como un indicia de intenciones maliciosa.
| akamaicontainer[.]com | officeaddons[.]com |
| akamaitechcloudservices[.]com | officestoragebox[.]com |
| azuredeploystore[.]com | pbxcloudeservices[.]com |
| azureonlinecloud[.]com | pbxphonenetwork[.]com |
| azureonlinestorage[.]com | pbxsources[.]com |
| dunamistrd[.]com | qwepoi123098[.]com |
| glcloudservice[.]com | sbmsa[.]wiki |
| journalide[.]org | sourceslabs[.]com |
| msedgepackageinfo[.]com | visualstudiofactory[.]com |
| msstorageazure[.]com | zacharryblogs[.]com |
| msstorageboxes[.]com |
Varios clientes en los foros de 3CX mencionan que están recibiendo alertas desde el 22 de marzo de 2023, diciendo que la aplicación de cliente de VoIP fue marcada como maliciosa por los siguientes softwares de seguridad SentinelOne, CrowdStrike, ESET, Palo Alto Networks y SonicWall.
Productos afectados
| Sistema operativo | Versión | Nombre del archivo | SHA256 (Instalador) |
| Windows | 18.12.407 | 3CX Desktop App-18.12.407.msi | aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 |
| Windows | 18.12.416 | 3CX Desktop App-18.12.416.msi | 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 |
| macOS | 18.11.1213 | 3CX Desktop App-18.11.1213.dmg | 5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290 |
| macOS | el último | 3CX Desktop App-latest.dmg | e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec |
3CX confirma que el software está comprometido
El CEO de 3CX, Nick Galea, confirmó hoy jueves por la mañana en una publicación en el foro que 3CX Desktop App estaba comprometida para incluir malware. Como resultado, Galea recomienda a todos los clientes que desinstalen la aplicación de escritorio y cambien al cliente PWA.
El CEO también comenta que se está trabajando en una actualización de aplicación de escritorio, la cual será lanzada en el transcurso del día 30 de marzo del 2023 y que posteriormente se lanzará un informe completo de lo ocurrido.
Recomendaciones
- Se recomienda desinstalar la aplicación hasta que una nueva versión sea publicada.
- Utilizar el cliente PWA de 3CX propuesto por el CEO, Nick Galea, de la compañía.
Referencias
- https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3CX Desktop App-customers/
- https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/
- https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/
- https://www.3cx.com/blog/releases/web-client-pwa/