NB. Имена обнаружения вы можете проверить, используете ли вы продукты и услуги Sophos
доступны из Команда Sophos X-Ops на нашем сайте-партнере Новости Sophos.
Интернет-телефонная компания 3CX предупреждает своих клиентов о вредоносных программ это, по-видимому, было внедрено в собственное приложение 3CX Desktop киберпреступниками, которые, похоже, получили доступ к одному или нескольким репозиториям исходного кода 3CX.
Как вы можете себе представить, учитывая, что компания изо всех сил пытается не только выяснить, что произошло, но и исправить и задокументировать, что пошло не так, 3CX пока не может поделиться подробностями об инциденте, но сообщает прямо в самый верх его официальной предупреждение системы безопасности:
Похоже, проблема связана с одной из связанных библиотек, которые мы скомпилировали в приложение Windows Electron через Git.
Мы все еще изучаем этот вопрос, чтобы предоставить более подробный ответ сегодня [2023-03-30].
Electron — это название большого и сверхсложного, но сверхмощного набора инструментов для программирования, который дает вам готовый к работе интерфейс в стиле браузера для вашего программного обеспечения.
Например, вместо того, чтобы поддерживать собственный код пользовательского интерфейса на C или C++ и работать напрямую, скажем, с MFC в Windows, Cocoa в macOS и Qt в Linux…
… вы подключаете инструментарий Electron и программируете большую часть своего приложения на JavaScript, HTML и CSS, как если бы вы создавали веб-сайт, который будет работать в любом браузере.
С силой приходит ответственность
Если вы когда-нибудь задумывались, почему популярные загрузки приложений, таких как Visual Studio Code, Zoom, Teams и Slack, настолько велики, то это потому, что все они включают сборку Electron в качестве основного «движка программирования» для самого приложения.
Хорошая сторона таких инструментов, как Electron, заключается в том, что они, как правило, упрощают (и ускоряют) создание приложений, которые хорошо выглядят, работают привычным для пользователей способом и не ведут себя совершенно по-разному в разных операционных системах. .
Плохая сторона заключается в том, что существует гораздо больше базового кода, который вам нужно извлекать из собственного (или, возможно, из чьего-либо) репозитория исходного кода каждый раз, когда вы перестраиваете свое собственное приложение, и даже скромные приложения обычно занимают несколько сотен мегабайт. в размере, когда они загружаются, и еще больше после их установки.
Это плохо, по крайней мере в теории.
Грубо говоря, чем больше ваше приложение, тем больше шансов, что оно пойдет не так.
И хотя вы, вероятно, знакомы с кодом, составляющим уникальные части вашего собственного приложения, и у вас, несомненно, есть все возможности для просмотра всех изменений от одного выпуска к другому, гораздо менее вероятно, что у вас есть такое же знакомство с базовым кодом Electron, на котором основано ваше приложение.
Поэтому маловероятно, что у вас будет время обратить внимание на все изменения, которые могли быть внесены в «шаблонные» части Electron вашей сборки командой добровольцев с открытым исходным кодом, которые составляют сам проект Electron.
Атакуйте большую часть, которая менее известна
Другими словами, если у вас есть собственная копия репозитория Electron, а злоумышленники находят путь в вашу систему управления исходным кодом (в случае 3CX они, по-видимому, используют очень популярную идти софт для этого)…
… тогда эти злоумышленники вполне могут решить заминировать следующую версию вашего приложения, внедрив свои вредоносные фрагменты в часть Electron вашего исходного дерева, вместо того, чтобы пытаться возиться с вашим собственным проприетарным кодом.
В конце концов, вы, вероятно, воспринимаете код Electron как нечто само собой разумеющееся, пока он выглядит «почти так же, как и раньше», и вы почти наверняка лучше приспособлены для обнаружения нежелательных или неожиданных дополнений в коде вашей собственной команды, чем в гигантском дереве зависимостей. исходный код, который был написан кем-то другим.
Когда вы просматриваете собственный код своей компании, [A] вы, вероятно, видели его раньше, и [B] вы вполне могли присутствовать на собраниях, на которых изменения теперь отображаются в вашем коде. дифференциалы были обсуждены и согласованы. Вы, скорее всего, будете настроены и более собственнически — чувствительны, если хотите — к изменениям в вашем собственном коде, которые выглядят неправильно. Это немного похоже на разницу между замечанием того, что что-то не в порядке, когда вы едете на собственной машине, и когда вы отправляетесь в аренду в аэропорту. Не то чтобы вы не заботились о арендованной машине, потому что она не ваша (мы надеемся!), а просто потому, что у вас не та же история и, если не сказать лучше, та же близость с ней.
Что делать?
Проще говоря, если вы пользователь 3CX и у вас есть настольное приложение компании для Windows или macOS, вам следует:
- Удалите его немедленно. Вредоносные надстройки в заминированной версии могли появиться либо в недавней свежей установке приложения от 3CX, либо в качестве побочного эффекта официального обновления. Версии с вредоносными программами, по-видимому, были созданы и распространены самой 3CX, поэтому они имеют цифровые подписи, которые вы ожидаете от компании, и они почти наверняка были получены с официального сервера загрузки 3CX. Другими словами, вы не застрахованы только потому, что избегали альтернативных или неофициальных сайтов загрузки. Заведомо плохой продукт номера версий можно найти в предупреждении безопасности 3CX.
- Проверьте свой компьютер и журналы на наличие контрольных признаков вредоносного ПО. Простого удаления приложения 3CX недостаточно для очистки, потому что эта вредоносная программа (как и большинство современных вредоносных программ) может сама загружать и устанавливать дополнительные вредоносные программы. Вы можете подробнее прочитать о том, как вредоносное ПО действительно работает на нашем дочернем сайте Sophos News, где Sophos X-Ops опубликовала анализ и консультации чтобы помочь вам в поиске угроз. В этой статье также перечислены имена обнаружения, которые будут использовать продукты Sophos, если они обнаружат и заблокируют какие-либо элементы этой атаки в вашей сети. Вы также можете найти полезный список так называемых IoC, или индикаторы компрометации, На SophosLabsGitHub страницы. IoC подсказывают вам, как найти доказательства того, что вы подверглись атаке, в виде URL-адресов, которые могут отображаться в ваших журналах, известных плохих файлов, которые нужно искать на ваших компьютерах, и многого другого.
НУЖНО ЗНАТЬ БОЛЬШЕ? СЛЕДИТЕ ЗА ИМЕНАМИ IOCS, АНАЛИЗА И ОБНАРУЖЕНИЯ
- На данный момент переключитесь на использование веб-телефонии 3CX. Компания говорит: «Мы настоятельно рекомендуем вам вместо этого использовать наше прогрессивное веб-приложение (PWA). Приложение PWA полностью основано на Интернете и делает 95% того, что делает приложение Electron. Преимущество заключается в том, что он не требует установки или обновления, а веб-безопасность Chrome применяется автоматически».
- Дождитесь дальнейших рекомендаций от 3CX, поскольку компания узнает больше о том, что произошло. 3CX, по-видимому, уже сообщил об известных плохих URL-адресах, которые вредоносное ПО использует для дальнейших загрузок, и утверждает, что «большинство [этих доменов] были отключены за одну ночь». Компания также сообщает, что временно прекратила доступность своего приложения для Windows и скоро перестроит новую версию, подписанную новой цифровой подписью. Это означает, что любые старые версии могут быть идентифицированы и удалены путем явного внесения в черный список старого сертификата подписи, который больше не будет использоваться.
- Если вы не знаете, что делать, или у вас нет времени, чтобы сделать это самостоятельно, не бойтесь звать на помощь. Вы можете получить Sophos Управляемое обнаружение и ответ (MDR) или Sophos Быстрый ответ (RR) через наш основной сайт.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/03/30/supply-chain-blunder-puts-3cx-telephone-app-users-at-risk/
- :является
- $UP
- 1
- 95%
- a
- в состоянии
- О нас
- Absolute
- доступ
- приобретенный
- на самом деле
- дополнительный
- дополнениями
- плюс
- совет
- После
- аэропорт
- Оповещение
- Все
- уже
- альтернатива
- анализ
- и
- приложение
- загрузка приложений
- прикладной
- Программы
- МЫ
- гайд
- AS
- At
- атаковать
- внимание
- автор
- автоматический
- автоматически
- свободных мест
- доступен
- Фоновое изображение
- Плохой
- BE
- , так как:
- до
- Лучшая
- между
- большой
- больший
- Немного
- Заблокировать
- граница
- Дно
- браузер
- строить
- Строительство
- построенный
- Пакет
- by
- C + +
- призывают
- CAN
- Может получить
- автомобиль
- заботится
- случаев
- Центр
- конечно
- сертификат
- цепь
- изменения
- проверка
- Chrome
- требования
- Очистить
- код
- цвет
- Компания
- Компании
- полностью
- компьютер
- компьютеры
- современный
- контроль
- Основные
- может
- чехол для варгана
- CSS
- Клиенты
- киберпреступники
- решать
- Зависимость
- глубина
- компьютера
- подробность
- обнаружение
- разница
- различный
- Интернет
- непосредственно
- обсуждается
- Дисплей
- распределенный
- документ
- не
- доменов
- Dont
- сомневаюсь
- вниз
- скачать
- загрузок
- управлять
- каждый
- легче
- или
- элементы
- Еще
- достаточно
- Весь
- Даже
- НИКОГДА
- Каждая
- , поскольку большинство сенаторов
- пример
- ожидать
- знакомый
- фамильярность
- фигура
- Файлы
- Найдите
- находит
- Что касается
- форма
- найденный
- Год основания
- код фонда
- свежий
- от
- передний
- Внешний интерфейс
- далее
- в общем
- получить
- гигант
- идти
- GitHub
- данный
- дает
- Go
- хорошо
- предоставленный
- произошло
- Есть
- высота
- помощь
- история
- держать
- зависать
- Как
- How To
- HTML
- HTTPS
- Сотни
- охота
- идентифицированный
- in
- В других
- инцидент
- включают
- устанавливать
- вместо
- Интерфейс
- выпустили
- вопрос
- IT
- ЕГО
- саму трезвость
- JavaScript
- Сохранить
- хранение
- Знать
- большой
- библиотеки
- такое как
- Вероятно
- Списки
- Длинное
- посмотреть
- ВЗГЛЯДЫ
- серия
- MacOS
- Главная
- Большинство
- сделать
- ДЕЛАЕТ
- вредоносных программ
- Маржа
- Вопрос
- макс-ширина
- MDR
- означает
- заседаниях
- может быть
- БОЛЕЕ
- самых
- имя
- имена
- Необходимость
- сеть
- Новые
- Новости
- следующий
- "обычные"
- of
- Официальный представитель в Грузии
- Старый
- on
- ONE
- с открытым исходным кодом
- операционный
- операционная система
- Другое
- всю ночь
- собственный
- часть
- части
- Пол
- ОПЛАТИТЬ
- возможно
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Популярное
- должность
- Блог
- мощностью
- вероятно
- Продукт
- Продукция
- FitPartner™
- Программирование
- приложение
- Проект
- ( изучите наши патенты),
- обеспечивать
- опубликованный
- положил
- Оферты
- QT
- быстрее
- Читать
- готовый
- последний
- освободить
- удаление
- ремонт
- Сообщается
- хранилище
- требовать
- ответ
- обзоре
- обзор
- Снижение
- то же
- говорит
- безопасность
- Искать
- чувствительный
- набор
- несколько
- Поделиться
- должен
- показывать
- Подписи
- подписанный
- подписание
- Признаки
- просто
- сестра
- сайте
- Сайтов
- Размер
- слабина
- So
- Software
- твердый
- Кто-то
- Скоро
- Источник
- исходный код
- Говоря
- Спотовая торговля
- Область
- По-прежнему
- сильно
- студия
- такие
- поставка
- цепочками поставок
- SVG
- система
- взять
- команда
- команды
- который
- Ассоциация
- их
- следовательно
- Эти
- угроза
- время
- в
- сегодня
- Инструментарий
- инструменты
- топ
- трек
- переход
- прозрачный
- типично
- лежащий в основе
- Неожиданный
- созданного
- нежелательный
- Обновление ПО
- обновление
- URL
- использование
- Информация о пользователе
- Пользовательский интерфейс
- пользователей
- автомобиль
- версия
- с помощью
- волонтеры
- предупреждение
- Путь..
- способы
- Web
- Веб-безопасность
- Web-Based
- Вебсайт
- ЧТО Ж
- Что
- который
- в то время как
- КТО
- будете
- окна
- Word
- слова
- Работа
- работает
- бы
- письменный
- Неправильно
- ВАШЕ
- себя
- зефирнет
- зум