駭客散布木馬化3CX程式 全球各大企業恐受牽連

編譯/鄭智懷

在CrowdStrike、SentinelOne和Sophos等多家資安業者發布報告,指出VoIP IPBX軟體開發商3CX旗下桌面程式Electron被指入木馬以後,儘管該軟體公司起初否認公司主要產品已被植入木馬,聲稱其為誤報;然而在美東當地時間30日,其資安長Pierre Jourdan出面證實此事屬實,建議用戶盡速刪除含有木馬的版本,並以漸進式網路應用程式(Progressive Web Apps,PWA)作為暫時替代品。

3CX旗下桌面程式Electron主要為提供用戶透過網路進行各式通訊,在全球190個國家或地區擁有逾60萬企業客戶,包含豐田(Toyota)、寶馬(BMW)、宜家(IKEA)、麥當勞(McDonald’s)、可口可樂(Coca-Cola)、美國運通(American Express)等等,每日使用用戶數量超過1,200萬名。

資安業者發現,在本起由SentinelOne命名為Smooth Operator的網路犯罪案例中,由3CX官網下載的Electron被駭客植入含有木馬的ffmpeg.dll,藉此感染受害者設備並下載竊密器。示意圖:RF123

上述資安業者發現,在本起由SentinelOne命名為Smooth Operator的網路犯罪案例中,由3CX官網下載的Electron被駭客植入含有木馬的ffmpeg.dll,藉此感染受害者設備並下載竊密器。該惡意軟體目標為收集Google Chrome 、Microsoft Edge、Brave 和 Firefox等瀏覽器的系統訊息與敏感數據。

Pierre Jourdan在3CX官方公告指出,截至30日為止,受到影響的Electron版本為Windows版的18.12.407 和 18.12.416;mac版的則為18.11.1213、18.12.402、18.12.407 和 18.12.416。

Pierre Jourdan表示,本次供應鏈攻擊(supply chain attack)可能是一起由國家支持的進階持續性滲透攻擊(APT)行動。CrowdStrike則進一步主張是由北韓駭客組織Lazarus Group旗下的分部Labyrinth Chollima所為。

Pierre Jourdan建議客戶應先刪除Electron,並暫時使用網頁版的漸進式網路應用程式。Pierre Jourdan強調,雖然官方在攻擊事件後已推出更新版,但並不推薦客戶使用該緊急修補者。他接著承諾3CX會在最快一天之內推出採用新憑證的版本。

資料來源:3CXTechCrunchThe Hacker News

瀏覽 693 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button