Atak na 3CX - jak SOC rozbroił bombę w łańcuchu dostaw?

W marcu 2023 roku przeprowadzony został znaczący atak na łańcuch dostaw, wymierzony był on w aplikację desktopową 3CX, dotykając miliony użytkowników na całym świecie.

Aplikacja desktopowa 3CX, używana do połączeń głosowych i wideo, została skompromitowana poprzez wspomniany powyżej atak oparty na technice side-loading. Atakujący wykorzystali technikę side-loadingu DLL do wykonania złośliwego kodu, omijając przy tym mechanizmy wykrywania.

Analiza i identyfikacja

SOC wykrył atak poprzez kombinację zaawansowanych narzędzi i technik wykrywania zagrożeń:

• SOC monitorował ruch sieciowy w poszukiwaniu podejrzanych wzorców, w tym zapytań DNS i połączeń TLS do znanych złośliwych domen.
• Connector XDR na punktach końcowych został użyty do monitorowania zdarzeń procesów i wykrywania obecności złośliwego pliku wykonywalnego 3CXDesktopApp.
• Wykorzystano źródła Threat Intelligence, aby być na bieżąco z najnowszymi wskaźnikami kompromitacji (IOC) związanymi z atakiem.

Reakcja i zapobieganie

Po wykryciu, SOC zainicjował szybką reakcję w celu powstrzymania i złagodzenia ataku:

• Zainfekowane punkty końcowe zostały natychmiast odizolowane od sieci, aby zapobiec dalszemu rozprzestrzenianiu się infekcji.
• Złośliwe procesy zostały zatrzymane.
• Złośliwy plik wykonywalny 3CXDesktopApp i powiązane pliki DLL zostały usunięte z zainfekowanych systemów oraz globalnie zablokowane w organizacji.
• SOC zablokował ruch do znanych złośliwych domen, aby zapobiec komunikacji z serwerami C2 atakującego.

Analiza poincydentalna

SOC przeprowadził dokładną analizę po incydencie, aby zidentyfikować obszary do poprawy i wdrożyć dodatkowe środki bezpieczeństwa.

Wnioski:

• Użycie zaawansowanych narzędzi i technik wykrywania zagrożeń jest kluczowe w wykrywaniu wyrafinowanych ataków.
• Szybki i ustrukturyzowany proces reakcji na incydenty jest niezbędny do zminimalizowania wpływu ataku.
• Bycie na bieżąco z najnowszymi IOC i wywiadem o zagrożeniach jest kluczowe w wykrywaniu i reagowaniu na ataki.
• Współpraca między SOC, IT i innymi interesariuszami jest niezbędna do zapewnienia kompleksowej reakcji na atak.

Podsumowanie operacji:

Wykrycie i reakcja na atak na łańcuch dostaw 3CX przez SOC wykazały znaczenie solidnej postawy bezpieczeństwa i szybkiej reakcji na incydenty. Wykorzystując zaawansowane narzędzia wykrywania zagrożeń, wywiad o zagrożeniach i ustrukturyzowany proces reakcji na incydenty, SOC był w stanie powstrzymać i złagodzić atak, minimalizując jego wpływ na organizację.