3CX 是一家 VoIP IPBX 软件开发公司，其 3CX Phone System 用于全球60多万家企业，日均用户超过1200万名。该公司的客户包括很多著名企业和组织机构如美国运通、可口可乐、麦当劳、宝马、本田、AirFrance、NHS、丰田、奔驰、宜家和假日酒店等。

研究人员提到，攻击者正在攻击受陷的 3CX 软件电话 app 的 Windows 和 macOS 用户。CrowdStrike 公司的威胁情报团队指出，“恶意活动包括发送到受攻击者控制的基础设施、部署第二阶段payload以及在某些有限的情况下的键入活动等。” Sophos 公司在安全公告中指出，“目前为止最常见的利用后活动是传播交互式命令 shell。”

虽然 CrowdStrike 公司认为受朝鲜政府支持的黑客组织 Labyrinth Collima 是幕后黑手，但 Sophos 公司的研究员表示“无法十分肯定地验证归属”。Labyrinth Collima 即卡巴斯基所称的 Lazarus Group、Dragos 公司所称的 Covellite、Mandiant 公司所称的 UNC4034、微软公司所称的 Zinc 和 Secureworks 公司所称的 Nickel Academy。

CrowdStrike 公司表示，“CrowdStrike 在命名攻击者的传统方面具有一个深入的分析流程。LABYRINTH CHOLLIMA 是 Lazarus Group 的一部分，后者包括其它朝鲜黑客组织如 SILENT CHOLLIMA 和 STARDUST CHOLLIMA。”

SentinelOne 公司还在上周四发布的一份报告中指出，木马化的 3CX 桌面应用下载的托管在 GitHub 上的图标文件中包括附加在这些镜像的 Base64 编码字符串。

这起软件供应链攻击幕后的攻击者被称为 “SmoothOperator”，在2022年12月7日首次将其中一份图标文件上传到其仓库。该 app 使用这些 Base64 字符串将最终 payload 下载到受陷设备，它是一款此前未知的信息窃取恶意软件。该恶意软件能够从 Chrome、Edge、Brave 和 Firefox 用户配置中窃取系统信息并盗取数据和所存储的凭据。

SentinelOne 公司表示，“此时，我们无法确认 Mac 安装程序也被木马化。我们正在调查的其它应用如Chrome扩展也可被用于发动攻击。威胁行动者从2022年2月开始已注册大量基础设施，但我们尚未看到与现有威胁组织存在明显关联。”

CrowdStrike 公司指出，3CX 公司的桌面客户端将连接到如下受攻击者控制的域名：

客户提到的桌面客户端尝试连接的一些域名包括azureonlinestorage[.]com、msstorageboxes[.]com 和 msstorageazure[.]com。BleepingComputer 测试了该软件的木马版本但无法触发和这些域名的任何连接。然而，3CX 论坛上有多名客户表示他们在一周前即3月22日收到告警称，该 VoIP 客户端 app 被 SentinelOne、CrowdStrike、ESET、Palo Alto Networks 和 SonicWall 安全软件被标记为恶意性质。

客户报告称，这些安全告警是在Mac上安装 3CXDesktopApp 18.12.407和18.12.416 Windows 版本或 18.11.1213和最新版本后触发的。CrowdStrike 共享的其中一个木马化3CX 软件电话客户端样本在三周前即3月3日被数字签名，3CX Ltd 证书由 DigiCert 办法。BleepingComputer 证实称该证书用于该软件的老旧版本中。

虽然 SentinelOne 在分析 3CXDesktopApp.exe 二进制时检测到“渗透架构或 shellcode”且ESET 将其标记为 “Win64/Agent.CFM”木马，但由CrowdStrike 公司的 Falcon OverWatch 管理的威胁搜索服务紧急提醒用户调查自己的系统中是否存在恶意活动。

尽管 3CX 公司的支持团队员工在周三的一条写满用户报告的论坛帖子下将其标记为潜在的 SentinelOne 误报，但该公司尚未公开证实这些问题。

3CX公司尚未就此事置评。