駭客散布木馬化3CX程式　全球各大企業恐受牽連

編譯／鄭智懷

在CrowdStrike、SentinelOne和Sophos等多家資安業者發布報告，指出VoIP IPBX軟體開發商3CX旗下桌面程式Electron被指入木馬以後，儘管該軟體公司起初否認公司主要產品已被植入木馬，聲稱其為誤報；然而在美東當地時間30日，其資安長Pierre Jourdan出面證實此事屬實，建議用戶盡速刪除含有木馬的版本，並以漸進式網路應用程式（Progressive Web Apps，PWA）作為暫時替代品。

3CX旗下桌面程式Electron主要為提供用戶透過網路進行各式通訊，在全球190個國家或地區擁有逾60萬企業客戶，包含豐田（Toyota）、寶馬（BMW）、宜家（IKEA）、麥當勞（McDonald’s）、可口可樂（Coca-Cola）、美國運通（American Express）等等，每日使用用戶數量超過1,200萬名。

上述資安業者發現，在本起由SentinelOne命名為Smooth Operator的網路犯罪案例中，由3CX官網下載的Electron被駭客植入含有木馬的ffmpeg.dll，藉此感染受害者設備並下載竊密器。該惡意軟體目標為收集Google Chrome 、Microsoft Edge、Brave 和 Firefox等瀏覽器的系統訊息與敏感數據。

Pierre Jourdan在3CX官方公告指出，截至30日為止，受到影響的Electron版本為Windows版的18.12.407 和 18.12.416；mac版的則為18.11.1213、18.12.402、18.12.407 和 18.12.416。

Pierre Jourdan表示，本次供應鏈攻擊（supply chain attack）可能是一起由國家支持的進階持續性滲透攻擊（APT）行動。CrowdStrike則進一步主張是由北韓駭客組織Lazarus Group旗下的分部Labyrinth Chollima所為。

Pierre Jourdan建議客戶應先刪除Electron，並暫時使用網頁版的漸進式網路應用程式。Pierre Jourdan強調，雖然官方在攻擊事件後已推出更新版，但並不推薦客戶使用該緊急修補者。他接著承諾3CX會在最快一天之內推出採用新憑證的版本。

資料來源：3CX、TechCrunch、The Hacker News

瀏覽 694 次