Zdaniem badaczy kampania ataków na łańcuch dostaw jest obecnie wymierzona w klientów aplikacji komputerowej 3CX, popularnej aplikacji do wiadomości głosowych i wideokonferencji, używanej przez tysiące firm na całym świecie. Podejrzewa się, że atakujący to grupa cyberprzestępców powiązana z Koreą Północną, znana jako Labyrinth Chollima. CrowdStrike zaobserwował złośliwą aktywność z legalnego podpisanego pliku binarnego w aplikacji, w tym sygnalizację nawigacyjną do infrastruktury kontrolowanej przez aktora odpowiedzialnego za zagrożenie oraz wdrażanie ładunków drugiego etapu. Ta kampania ataków jest częścią szerszych wysiłków mających na celu wykorzystanie luk w powszechnie używanych aplikacjach.

Aplikacja komputerowa 3CX jest używana przez ponad 600 000 klientów korporacyjnych na całym świecie, z ponad 12 milionami aktywnych użytkowników dziennie. Znani klienci to między innymi PepsiCo, brytyjska National Health Service, Best Western i Air France. Dane podawane przez Shodan wskazują, że zagrożonych jest ponad 242 000 publicznie wystawionych systemów zarządzania telefonami 3CX. Badacze Sophos wyjaśnili, że atak polegał na sideloadingu DLL, co umożliwiło atakowi rozwój bez wykrycia przez klientów. Badacze SentinelOne wykryli gwałtowny wzrost liczby wykrytych zachowań, który rozpoczął się 22 marca.

Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) potwierdziła, że jest świadoma doniesień o trojanizowanej aplikacji i wezwała organizacje do przeglądu informacji dostarczonych przez CrowdStrike i SentinelOne w celu znalezienia oznak naruszenia. W odpowiedzi na atak firma 3CX zaleciła swoim klientom odinstalowanie i ponowne zainstalowanie aplikacji oraz zaplanowała przeprowadzenie analizy sytuacji i wydanie raportu w najbliższym czasie.

źródło: https://www.cybersecuritydive.com/news/supply-chain-attack-3cx-desktop-thousands/646432/
https://www.3cx.com/blog/news/desktopapp-security-alert/