El equipo de soporte de 3CX, el proveedor de software de VoIP/PBX con más de 600.000 clientes y 12 millones de usuarios diarios, sabía que su aplicación de escritorio estaba siendo marcada como malware, pero decidió no tomar ninguna acción durante una semana cuando se enteró de que estaba en la red. receptor de un ataque masivo a la cadena de suministro, un hilo en los programas del foro de la comunidad de la compañía.
“¿Alguien más está viendo este problema con otros proveedores de A/V?” preguntó un cliente de la empresa el 22 de marzo, en una publicación titulada “Alertas de amenazas de SentinelOne para la actualización de escritorio iniciada des de el cliente de escritorio”. El cliente se refería a un producto de detección de malware de punto final de la empresa de seguridad SentinelOne. En la publicación se incluyeron algunas de las sospechas de SentinelOne: la detección de shellcode, la inyección de código en otro espacio de memoria de proceso y otras marcas comerciales de explotación de software.
¿Alguien más está viendo este problema con otros proveedores de A/V?
Publicar explotación
Se detectó un marco de penetración o código de shell
Evasión
Se ejecutó el comando indirecto
Inyección de código a otro espacio de memoria del proceso durante la inicialización del proceso de destino
\Dispositivo\HarddiskVolume4\Users\**NOMBRE DE USUARIO**\AppData\Local\Programs\3CXDesktopApp\3CXDesktopApp.exe
SHA1 e272715737b51c01dc2bed0f0aee2bf6feef25f1También recibo el mismo desencadenante cuando intento volver a descargar la aplicación desde el cliente web (3CXDesktopApp-18.12.416.msi).
Por defecto para confiar
Otros usuarios intervinieron rápidamente para informar que recibieron las mismas advertencias de su software SentinelOne. Todos informaron haber recibido la advertencia mientras ejecutaban 18.0 Update 7 (Build 312) de 3CXDesktopApp para Windows. Los usuarios pronto decidieron que la detección era un falso positivo provocado por una falla en el producto SentinelOne. Crearon una excepción para permitir que la aplicación sospechosa se ejecutara sin interferencias. El viernes, un día después, y nuevamente el lunes y martes siguientes, más usuarios informaron haber recibido la advertencia de SentinelOne.
En una de las contribuciones más proféticas, un usuario escribió el martes: “Hemos implementado los mismos ‘arreglos’ que se describen aquí, pero una respuesta de 3CX y/o SentinelOne sería realmente útil ya que no me gusta confiar por defecto en el panorama de seguridad actual de los ata ques a la cadena de suministro”.
Unos minutos más tarde, un miembro del equipo de soporte de 3CX se unió a la discusión por primera vez y recomendó que los clientes se comuniquen con SentinelOne, ya que fue el software de esa compañía el que provocó la advertencia. Otro cliente respondió, escribiendo:
Hmmm… cuantas más personas que usan 3CX y SentinelOne tienen el mismo problema. ¿No sería bueno que usted de 3CX se comunique con SentinelOne y averigüe si se trata de un falso positivo o no? – De proveedor a proveedor – así que al final, usted y la comunidad sabrían si todavía está sano y salvo.
El representante de soporte de 3CX respondió:
Si bien eso sonaría ideal, existen cientos, si no miles, de soluciones AV y no siempre podemos comunicarnos con ellas cada vez que ocurre un evento. Usamos el marco Electron para nuestra aplicación, ¿quizás estén bloqueando algunas de sus funciones?
Como probablemente comprenda, no tenemos control sobre su software y las decisiones que toma, por lo que no es exactamente nuestro lugar comentarlo. Creo que, al menos en este caso, tiene más sentido que los clientes de SentinelOne se comuniquen con su proveedor de software de seguridad y vean por qué sucede esto. Siéntase libre de publicar sus hallazgos aquí si recibe una respuesta.
Pasarían otras 24 horas antes de que el mundo supiera que SentinelOne tenía razón y que las personas que sospechaban un falso positivo estaban equivocadas.
Como se informó anteriormente, un grupo de amenazas vinculado al gobierno de Corea del Norte comprometió el sistema de compilación de software 3CX y usó el control para impulsar versiones troyanizadas de los programas DesktopApp de la compañía para Windows y macOS. El malware hace que las máquinas infectadas se dirijan a servidores controlados por actores y, según criterios desconocidos, el despliegue de cargas útiles de segunda etapa a objetivos específicos. En algunos casos, los atacantes llevaron a cabo “actividades prácticas en el teclado” en las máquinas infectadas, lo que significa que los atacantes ejecutaron comandos manualmente en ellas.
El desglose relacionado con la detección ignorada por 3CX y sus usuarios debería servir como una advertencia tanto para los equipos de soporte como para los usuarios finales, ya que generalmente son los primeros en encontrar actividad sospechosa. Los representantes de 3CX no respondieron a un mensaje en busca de comentarios para esta historia.