يدق الباحثون الأمنيون ناقوس الخطر بشأن ما قد يكون هجومًا رئيسيًا آخر على سلسلة SolarWinds أو سلسلة التوريد الشبيهة بـ Kaseya ، والذي يتضمن هذه المرة إصدارات Windows و Mac من مؤتمرات الفيديو على نطاق واسع ، PBX ، وتطبيق اتصالات الأعمال من 3CX.
في 30 مارس ، قال العديد من بائعي خدمات الأمان إنهم لاحظوا إصدارات مشروعة وموقعة رقميًا من 3CX DesktopApp مجمعة مع مثبتات ضارة تهبط على أجهزة سطح المكتب للمستخدم عبر عملية التحديث التلقائي الرسمية للشركة ، وكذلك عبر التحديثات اليدوية. والنتيجة النهائية هي برنامج ضار لسرقة البيانات يتم زرعه كجزء من جهد تجسس إلكتروني محتمل من قبل جهة فاعلة متقدمة للتهديد المستمر (APT).
قد يكون التأثير المحتمل للتهديد الجديد هائلاً. تدعي شركة 3CX وجود حوالي 600,000 عملية تثبيت في جميع أنحاء العالم مع أكثر من 12 مليون مستخدم يوميًا. من بين العديد من عملائها المشهورين شركات مثل American Express و Avis و Coca Cola و Honda و McDonald's و Pepsi و Toyota.
تقييم CrowdStrike أن الفاعل الذي يقف وراء الحملة هو Labyrinth Chollima ، وهي مجموعة يعتقد العديد من الباحثين أنها مرتبطة بوحدة الحرب الإلكترونية التابعة لوكالة الاستخبارات الكورية الشمالية ، المكتب العام للاستطلاع (RGB). متاهة Chollima هي واحدة من أربع مجموعات التي قام CrowdStrike بتقييمها هي جزء من أكبر مجموعة Lazarus Group في كوريا الشمالية.
لا يزال التهديد نشطًا إلى حد كبير. يقول جون هاموند ، كبير الباحثين الأمنيين في Huntress: "في الوقت الحالي ، لا تزال أحدث أدوات التثبيت والتحديثات المتاحة على موقع ويب 3CX العام هي التطبيقات المخترقة والخلفية التي تم الإشارة إليها على أنها سيئة من قبل العديد من شركات الأمان".
تطبيق Enterprise Trojanized مع المثبتات الخبيثة
يصل التطبيق المُسلح إلى نظام مضيف عندما يتم تحديث تطبيق سطح المكتب 3CX تلقائيًا ، أو عندما يحصل المستخدم على أحدث إصدار بشكل استباقي. بمجرد دفعه إلى نظام ما ، يقوم 3CX DesktopApp الموقع بتنفيذ برنامج تثبيت ضار ، والذي يقوم بعد ذلك بإشارات إلى خادم يتحكم فيه المهاجم ، ويسحب المرحلة الثانية من البرامج الضارة لسرقة المعلومات من هناك ، ويقوم بتثبيتها على كمبيوتر المستخدم. قال CrowdStrike ، وهو أحد أوائل الذين أبلغوا عن التهديد في 29 مارس ، إنه في حالات قليلة لاحظ أيضًا نشاطًا ضارًا باستخدام لوحة المفاتيح على الأنظمة باستخدام تطبيق Trojanized 3CX.
في رسالة في وقت مبكر من يوم 30 مارس ، حث الرئيس التنفيذي لشركة 3CX ، نيك جاليا ، المستخدمين على ذلك إلغاء التثبيت على الفور التطبيق ، مضيفًا أن Microsoft Windows Defender سيفعل ذلك تلقائيًا للمستخدمين الذين يشغلون البرنامج. حث جاليا العملاء الذين يرغبون في وظائف التطبيق على استخدام إصدار عميل الويب من التكنولوجيا أثناء عمل الشركة على تقديم تحديث.
A انذار امني من 3CX CISO حدد بيير جوردان التطبيقات المتأثرة باسم تطبيق Electron Windows ، الذي تم شحنه في التحديث 7 ، وأرقام الإصدار 18.12.407 و 18.12.416 وأرقام إصدار تطبيق Electron Mac 18.11.1213 و 18.12.402 و 18.12.407 و 18.12.416 . قال جوردان: "يبدو أن المشكلة هي إحدى المكتبات المجمعة التي قمنا بتجميعها في تطبيق Windows Electron عبر GIT".
من المحتمل أن يكون المهاجمون قد خرقوا بيئة إنتاج شركة 3CX
لم تعطِ رسائل Jourdan ولا Galea أي إشارة إلى كيفية تمكن المهاجم من الوصول إلى الوصول الذي يحتاجونه لتكوين حصان طروادة ثنائي موقع 3CXDekstopApp.exe. لكن اثنين على الأقل من بائعي الأمن الذين حللوا التهديد يقولون إنه كان من الممكن أن يحدث فقط إذا كان المهاجمون في بيئة تطوير أو بناء 3CX - بنفس الطريقة التي تم بها اختراق SolarWinds.
يقول Lotem Finkelstein ، مدير استخبارات التهديدات والبحوث في Check برنامج بوينت. يتم توقيع الملفات بشهادات 3CX ، وهي نفس الشهادات المستخدمة في الإصدارات الحميدة السابقة. تم إنشاء الشفرة بطريقة تستمر في العمل بالشكل المعتاد ولكنها تضيف أيضًا بعض البرامج الضارة ".
يقول Finkelstein تحقيق تشيك بوينت يؤكد أن الإصدار Trojanized من 3CX DesktopApp يتم تسليمه إما من خلال التنزيل اليدوي أو التحديثات المنتظمة من النظام الرسمي.
يقول ديك أوبراين ، المحلل الذكي الرئيسي في فريق Symantec Threat Hunter ، إن ممثل التهديد لا يبدو أنه لديه تطرق الملف التنفيذي الرئيسي نفسه. بدلاً من ذلك ، قامت APT بخرق مكتبتي ارتباط ديناميكي (DLLs) تم تسليمهما مع الملف القابل للتنفيذ في برنامج التثبيت.
يقول أوبراين: "تم استبدال ملف DLL واحد بملف مختلف تمامًا يحمل نفس الاسم". "والثاني هو نسخة طروادة من ملف DLL الشرعي [مع] المهاجمين بإلحاقه بشكل أساسي ببيانات مشفرة إضافية." استخدم المهاجمون تقنية ، تُعرف باسم التحميل الجانبي لـ DLL ، لخداع ثنائي 3CX الشرعي لتحميل DLL الخبيث وتنفيذه ، كما يقول.
يوافق أوبراين على أن المهاجم سيحتاج إلى الوصول إلى بيئة إنتاج شركة 3CX للتخلص من الاختراق. كيف فعلوا ذلك لا يزال غير معروف. ولكن بمجرد وصولهم إلى بيئة الإنشاء ، كل ما كان عليهم فعله هو إسقاط ملفي DLL في دليل الإنشاء. "
تأثير واسع محتمل
الباحثون في Huntress تتبع التهديد قالوا إنهم أرسلوا حتى الآن ما مجموعه 2,595 تقريرًا عن الحوادث للعملاء يحذرونهم من قيام مضيفين بتشغيل إصدارات حساسة من تطبيق سطح المكتب 3CX. في هذه الحالات ، قام البرنامج بمطابقة التجزئة أو المعرف الخاص بأحد التطبيقات السيئة المعروفة.
يقول Huntress 'Hammond: "المرحلة الأخيرة من سلسلة الهجوم كما نعرفها هي الوصول إلى خوادم القيادة والتحكم ، ومع ذلك ، يبدو أن هذا يتم ضبطه على مؤقت بعد سبعة أيام". أظهر بحث Shodan الذي أجراه Huntress أن 242,519،3 من أنظمة XNUMXCX المكشوفة علنًا ، على الرغم من أن تأثير المشكلة أوسع من مجرد مجموعة الأهداف.
ويضيف قائلاً: "تأتي التحديثات التي تلقاها تطبيق 3CX Desktop Application الموقع من مصدر التحديث الشرعي 3CX ، لذا يبدو هذا طبيعيًا للوهلة الأولى". "لم يتوقع العديد من المستخدمين النهائيين أن يقوم تطبيق 3CX الأصلي والصالح بإطلاق أجراس الإنذار فجأة من برامج مكافحة الفيروسات أو منتجات الأمان الخاصة بهم ، وفي وقت مبكر حيث لم يتم الكشف عن الكثير من المعلومات ، وكان هناك بعض الالتباس حول ما إذا كان النشاط خبيث أم لا ، كما يقول.
ظلال من الرياح الشمسية و Kaseya
يقارن هاموند هذا الحادث ب خروقات في SolarWinds وفي الكاسية.
باستخدام SolarWinds ، اقتحم المهاجمون - المرتبطون على الأرجح بخدمة الاستخبارات الأجنبية الروسية - بيئة بناء الشركة وأدخلوا بضعة أسطر من التعليمات البرمجية الضارة في تحديثات برنامج إدارة شبكة Orion الخاص بها. تلقى حوالي 18,000 عميل التحديثات ، لكن ممثل التهديد لم يكن يستهدف سوى حفنة صغيرة منهم للتوصل إلى حل وسط لاحق.
• الهجوم على VSA ل Kaseya نتج عن تقنية الإدارة عن بُعد تأثر أكثر من 1,000 عميل من عملاء مزودي الخدمة المُدارين واستهدافهم لاحقًا لتسليم برامج الفدية. الهجومان مثالان على الاتجاه المتنامي للجهات الفاعلة بالتهديد التي تستهدف مزودي وكيانات البرامج الموثوقة في سلسلة توريد البرمجيات للوصول إلى مجموعة واسعة من الضحايا. دفعت المخاوف بشأن التهديد الرئيس بايدن إلى ذلك إصدار أمر تنفيذي في مايو 2021 احتوت على متطلبات محددة لتعزيز أمن سلسلة التوريد.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/endpoint/automatic-officlal-updates-malicious-3cx-enterprises
- :يكون
- 000
- 000 عميل
- 1
- 11
- 2021
- 7
- a
- الوصول
- نشط
- نشاط
- الجهات الفاعلة
- إضافي
- يضيف
- متقدم
- بعد
- وكالة
- إنذار
- الكل
- بالرغم ان
- أمريكي
- أمريكان إكسبريس
- من بين
- المحلل
- و
- آخر
- الحماية من الفيروسات
- التطبيق
- تظهر
- تطبيق
- التطبيقات
- التطبيقات
- APT
- هي
- وصول
- AS
- تقييم
- At
- مهاجمة
- الهجمات
- أوتوماتيك
- تلقائيا
- متاح
- سيئة
- BE
- وراء
- يجري
- اعتقد
- أجراس
- بايدن
- واسع
- أوسع
- حطم
- نساعدك في بناء
- بنيت
- مكتب
- الأعمال
- by
- الحملات
- الرئيس التنفيذي
- الشهادات
- سلسلة
- التحقق
- CISO
- مطالبات
- زبون
- الكوكا
- الكود
- الكولا
- آت
- Communication
- الشركات
- حول الشركة
- إكمال
- تماما
- حل وسط
- تسوية
- الكمبيوتر
- اهتمامات
- أجرت
- المؤتمرات
- الثقة
- ارتباك
- استطاع
- حاليا
- العملاء
- يوميا
- البيانات
- أيام
- نقل
- تم التوصيل
- تقديم
- التوصيل
- سطح المكتب
- التطوير التجاري
- فعل
- مختلف
- رقميا
- مدير المدارس
- إلى أسفل
- بإمكانك تحميله
- قطرة
- ديناميكي
- في وقت مبكر
- جهد
- إما
- مشفرة
- الشركات
- الكيانات
- البيئة
- أساسيا
- أمثلة
- تنفيذ
- ينفذ
- تنفيذي
- توقع
- مكشوف
- التعبير
- قليل
- قم بتقديم
- ملفات
- نهائي
- الشركات
- الاسم الأول
- في حالة
- أجنبي
- التحاليل الجنائية
- تبدأ من
- وظيفة
- ربح
- العلاجات العامة
- بوابة
- تجمع
- متزايد
- الإختراق
- حفنة
- حدث
- مزيج
- يملك
- مرتفع
- مضيف
- المضيفين
- كيفية
- لكن
- HTTPS
- ضخم
- محدد
- معرف
- التأثير
- أثر
- in
- حادث
- إشارة
- معلومات
- بدلًا من ذلك
- رؤيتنا
- ذكي
- قضية
- IT
- انها
- جون
- JPG
- علم
- معروف
- كوريا
- هبوط
- أكبر
- آخر
- لازاروس
- مجموعة لازاروس
- المكتبات
- مثل
- على الأرجح
- خطوط
- LINK
- مرتبط
- تحميل
- تبدو
- لجنة الهدنة العسكرية
- الرئيسية
- رائد
- البرمجيات الخبيثة
- تمكن
- إدارة
- أسلوب
- كتيب
- كثير
- مارس
- مطابقة
- ماكدونالد
- الرسالة
- رسائل
- مایکروسافت
- مايكروسوفت ويندوز
- مليون
- الأكثر من ذلك
- متعدد
- الاسم
- شبكة
- جديد
- عادي
- عادة
- شمال
- كوريا الشمالية
- وأشار
- أرقام
- كثير
- of
- رسمي
- on
- ONE
- أصلي
- جزء
- PBX
- صورة
- بيير
- خط أنابيب
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- البوينت
- محتمل
- رئيس
- الرئيس بايدن
- سابق
- رئيسي
- عملية المعالجة
- الإنتــاج
- المنتجات
- مزود
- مقدمي
- جمهور
- علانية
- تسحب
- دفع
- الفدية
- الوصول
- الوصول إلى
- تلقى
- منتظم
- بقايا
- عن بعد
- استبدال
- تقرير
- التقارير
- المتطلبات الأساسية
- بحث
- الباحث
- الباحثين
- نتيجة
- RGB
- تشغيل
- روسيا
- s
- قال
- نفسه
- يقول
- بحث
- الثاني
- أمن
- كبير
- خوادم
- الخدمة
- مقدم الخدمة
- طقم
- ضبط
- سبعة
- تم شحنه
- ينبغي
- التحميل الجانبي
- وقعت
- صغير
- So
- حتى الآن
- تطبيقات الكمبيوتر
- سولارويندز
- بعض
- مصدر
- محدد
- المسرح
- لا يزال
- لاحق
- بعد ذلك
- تزويد
- سلسلة التوريد
- عرضة
- نظام
- أنظمة
- المستهدفة
- استهداف
- الأهداف
- فريق
- تكنولوجيا
- أن
- •
- من مشاركة
- منهم
- تشبه
- التهديد
- الجهات التهديد
- عبر
- الوقت
- الجدول الزمني
- إلى
- الإجمالي
- تويوتا
- اكثر شيوعا
- افضل
- وحدة
- تحديث
- آخر التحديثات
- ترقيات
- تستخدم
- مستخدم
- المستخدمين
- الباعة
- الإصدار
- بواسطة
- ضحايا
- فيديو
- مؤتمرات الفيديو
- تحذير
- طريق..
- الويب
- الموقع الإلكتروني
- حسن
- ابحث عن
- سواء
- التي
- في حين
- على نحو واسع
- نوافذ
- مع
- عامل
- أعمال
- في جميع أنحاء العالم
- سوف
- زفيرنت