3CX供应链攻击

概述

受害公司：https://www.3cx.com/
攻击时间：2023-03-22
攻击行业：互联网协议语音VoIP IPBX软件开发公司
影响范围：3CX的电话系统被全球超过 600,000家公司使用，每日用户超过1200万。

近日， 国外互联网协议开发公司3CX遭受到供应链攻击。根据第三方报告表明，在Windows 和 macOS 操作系统上都检测到与供应链攻击相关的持续活动。黑客替换了官方下载地址的MSI安装程序包，在MSI安装程序包中植入了恶意组件，致使用户在更新应用时会被感染。3CX公司的电话系统目前被全球超过 600,000 家公司使用，且每日新增用户超过1200万。针对此次攻击网络事件，4月1日该公司发表了安全声明，表明已聘请网络安全专家进入深入调查。

被感染的MSI软件安装包程序具有合法的数字签名，MSI执行时会在C:\\Users[user_name]\\AppData\\Local\\Programs\\3CXDesktopApp\\app位置放置两个恶意文件：ffmpeg.dll和d3dcompiler_47.dll。其中d3dcompiler_47.dll具备微软数字签名。

正常程序3CXDesktopApp.exe运行后会加载ffmpeg.dll&