Klienci Sophos w obliczu ataku na 3CX
Ostatni atak na 3CX pokazał, że nawet legalne oprogramowanie, dostarczane przez oficjalne kanały producenta, nie gwarantuje pełni bezpieczeństwa. Ten przypadek dobitnie uświadomił także, że wykrycie takiego ataku jest jeszcze trudniejsze. Klienci Sophos w obliczu tego ataku mogą spać spokojnie. Poniżej prezentujemy stanowisko firmy Sophos, dotyczące ich klientów.
Sophos X-Ops bacznie przygląda się atakowi na aplikację 3CX Desktop. 3CX to szeroko stosowane oprogramowanie realizujące funkcję systemu telefonicznego PBX, dostępne na platformę Windows, Linux, Android i iOS. Atak polega na dodaniu spreparowanego instalatora, który komunikuje się z różnymi serwerami command-and-control (C2).
Listę IOC dla tego ataku można znaleźć na koncie GitHub Sophos.
Zabezpieczenia Sophos
Sophos podjął następujące działania w celu ochrony klientów przed tym atakiem:
- Zablokował złośliwe domeny.
- Opublikował następujące sygnatury:
- Statyczne wykrycia:
- Troj/Loader-AF (złośliwie zmodyfikowany ffmpeg.dll)
- Troj/Mdrop-JTQ (instalatory)
- OSX/Mdrop-JTR (instalatory)
- OSX/Loader-AG (złośliwie zmodyfikowany ffmpeg.dll)
- Wykrycia oparte na reputacji:
- Mal/Generic-R / Mal/Generic-S (d3dcompiler z dołączonym shellcodem)
- Wykrycia w pamięci:
- Mem/Loader-AH
- Statyczne wykrycia:
- Zablokował listę znanych domen C2 związanych z zagrożeniem. Lista ta będzie ciągle aktualizowana.
- Oznaczył niską reputację dla dwóch złośliwych wersji ffmpeg.dll dostarczonych przez fałszywą aplikację 3CX.
- Dla klientów Sophos MDR: zespół inżynierów MDR posiada wiele wykryć behawioralnych, które rozpoznają znane i będą w stanie rozpoznać kolejne aktywności.
Określenie zakresu ataku z Sophos XDR
Sophos XDR umożliwia organizacjom określenie, czy hosty komunikowały się z infrastrukturą atakującego. Zespół specjalistów Sophos przygotował niestandardowe zapytanie, które jest dostępne m.in. tutaj.
Więcej informacji na temat tego ataku oraz innych, równie ciekawych, można znaleźć w artykułach producenta oraz na naszym blogu.