محققان امنیتی زنگ خطری را به صدا در میآورند که ممکن است یکی دیگر از حملات بزرگ زنجیره تامین SolarWinds یا Kaseya باشد که این بار شامل نسخههای Windows و Mac یک کنفرانس ویدئویی پرکاربرد، PBX و برنامه ارتباط تجاری از 3CX میشود.
در 30 مارس، چندین فروشنده امنیتی گفتند که نسخههای قانونی و امضا شده دیجیتالی 3CX DesktopApp همراه با نصبکنندههای مخرب را مشاهده کردهاند که از طریق فرآیند بهروزرسانی خودکار رسمی شرکت و همچنین از طریق بهروزرسانیهای دستی، روی دسکتاپ کاربران فرود میآیند. نتیجه نهایی یک بدافزار سرقت اطلاعات است که به عنوان بخشی از یک تلاش احتمالی جاسوسی سایبری توسط یک عامل تهدید دائمی پیشرفته (APT) کاشته شده است.
تأثیر احتمالی تهدید جدید می تواند بسیار زیاد باشد. 3CX ادعا می کند حدود 600,000 نصب در سراسر جهان با بیش از 12 میلیون کاربر روزانه دارد. در میان مشتریان بزرگ آن شرکت هایی مانند American Express، Avis، Coca Cola، Honda، McDonald's، Pepsi و Toyota هستند.
CrowdStrike ارزیابی شد که عامل تهدید در پشت این کمپین Labyrinth Chollima است، گروهی که بسیاری از محققان معتقدند با واحد جنگ سایبری سازمان اطلاعات کره شمالی، اداره کل شناسایی (RGB) مرتبط است. هزارتوی کولیما یکی از چهار گروه است که CrowdStrike ارزیابی کرده است بخشی از گروه بزرگتر لازاروس کره شمالی هستند.
این تهدید هنوز هم بسیار فعال است. جان هاموند، محقق ارشد امنیتی در Huntress میگوید: «در حال حاضر، آخرین نصبکنندهها و بهروزرسانیهای موجود در وبسایت عمومی 3CX، هنوز برنامههای در معرض خطر و درپشتی هستند که توسط شرکتهای امنیتی متعدد به عنوان بد شناخته میشوند.»
برنامه Enterprise Trojanized با نصب کننده های مخرب
زمانی که اپلیکیشن دسکتاپ 3CX بهطور خودکار بهروزرسانی میشود، یا زمانی که کاربر آخرین نسخه را بهطور فعال دریافت میکند، برنامه تسلیحشده به سیستم میزبان وارد میشود. هنگامی که 3CX DesktopApp امضا شده به یک سیستم فشار داده می شود، یک نصب کننده مخرب را اجرا می کند، که سپس به یک سرور تحت کنترل مهاجم ارسال می شود، یک بدافزار مرحله دوم که اطلاعات سرقت می کند را از آنجا پایین می کشد و آن را روی رایانه کاربر نصب می کند. CrowdStrike، یکی از اولین کسانی که در 29 مارس در مورد این تهدید گزارش داد، گفت که در چند مورد نیز فعالیت مخرب دست روی صفحه کلید را در سیستم هایی با برنامه Trojanized 3CX مشاهده کرده است.
نیک گالیا، مدیرعامل 30CX در پیامی در اوایل 3 مارس از کاربران خواست تا این کار را انجام دهند بلافاصله حذف نصب کنید این برنامه افزود که Microsoft Windows Defender این کار را به طور خودکار برای کاربرانی که نرم افزار را اجرا می کنند انجام می دهد. Galea از مشتریانی که خواهان عملکرد برنامه هستند خواست از نسخه سرویس گیرنده وب این فناوری استفاده کنند، در حالی که شرکت روی ارائه بهروزرسانی کار میکند.
A هشدار امنیتی از 3CX CISO Pierre Jourdan برنامههای آسیبدیده را بهعنوان Electron Windows App، ارسال شده در بهروزرسانی 7، شمارههای نسخه 18.12.407 و 18.12.416 و Electron Mac App شمارههای نسخه 18.11.1213، 18.12.402، 18.12.407، و 18.12.416، XNUMX، XNUMX، XNUMX. . Jourdan گفت: "به نظر می رسد این مشکل یکی از کتابخانه های همراه است که ما از طریق GIT در برنامه Windows Electron کامپایل کرده ایم."
مهاجمان احتمالاً محیط تولید 3CX را نقض کرده اند
هیچ کدام از پیامهای Jourdan و Galea هیچ نشانهای از چگونگی دسترسی مهاجم به دسترسی مورد نیاز برای تروجان کردن یک باینری امضا شده 3CXDekstopApp.exe نشان ندادند. اما حداقل دو فروشنده امنیتی که این تهدید را تجزیه و تحلیل کردهاند، میگویند که این تهدید تنها در صورتی میتوانست رخ دهد که مهاجمان در محیط توسعه یا ساخت 3CX قرار داشته باشند - به همان شیوهای که SolarWinds در معرض خطر قرار گرفت.
لوتم فینکلشتاین، مدیر اطلاعات و تحقیقات تهدید در چک میگوید: «اگرچه تنها 3CX تصویر کاملی از آنچه اتفاق افتاده است، تاکنون از نظر پزشکی قانونی، با اطمینان بالا ارزیابی میکنیم که عامل تهدید به خط لوله تولید 3CX دسترسی داشته است. نرم افزار نقطه. فایلها با گواهیهای 3CX امضا شدهاند، همان چیزی که برای نسخههای خوشخیم قبلی استفاده میشد. کد به گونه ای ساخته شده است که همانطور که باید به کار خود ادامه می دهد، اما بدافزاری نیز اضافه می کند.
فینکلشتاین می گوید بررسی چک پوینت تأیید میکند که نسخه Trojanized 3CX DesktopApp از طریق دانلود دستی یا بهروزرسانیهای منظم از سیستم رسمی ارائه میشود.
دیک اوبراین، تحلیلگر باهوش اصلی در تیم Symantec Threat Hunter، می گوید که به نظر نمی رسد بازیگر تهدید کننده خود فایل اجرایی اصلی را لمس کرد. در عوض، APT دو کتابخانه پیوند پویا (DLL) را که همراه با فایل اجرایی در نصب کننده تحویل داده شده بودند، به خطر انداخت.
O'Brien می گوید: «یک DLL با یک فایل کاملاً متفاوت با همان نام جایگزین شد. "دومین نسخه تروجانیزه شده از DLL قانونی [با] مهاجمان بود که اساساً آن را با داده های رمزگذاری شده اضافی اضافه می کردند." او می گوید که مهاجمان از تکنیکی به نام بارگذاری جانبی DLL برای فریب باینری قانونی 3CX برای بارگیری و اجرای DLL مخرب استفاده کرده اند.
O'Brien موافق است که مهاجم برای انجام هک نیاز به دسترسی به محیط تولید 3CX داشته است. "چگونه آنها این کار را انجام دادند ناشناخته باقی مانده است. اما هنگامی که آنها به محیط ساخت دسترسی پیدا کردند، تنها کاری که باید انجام می دادند این بود که دو DLL را در فهرست ساخت قرار دهند.
تاثیر بالقوه گسترده
محققان در Huntress ردیابی تهدید گفت که آنها تاکنون در مجموع 2,595 گزارش حادثه را برای مشتریان ارسال کرده اند و به آنها هشدار داده اند که میزبان هایی که نسخه های حساس برنامه دسکتاپ 3CX را اجرا می کنند. در این موارد، نرم افزار هش یا شناسه یکی از برنامه های کاربردی نامناسب شناخته شده را مطابقت داد.
هاموند می گوید: «مرحله آخر زنجیره حمله همانطور که می دانیم دسترسی به سرورهای فرمان و کنترل است، با این حال، به نظر می رسد که پس از هفت روز این تایمر تنظیم شده باشد. جستجوی شودان که هانترس انجام داد، 242,519 سیستم 3CX را که در معرض عموم قرار گرفته بودند نشان داد، اگرچه تأثیر این موضوع فراتر از مجموعه ای از اهداف است.
او میافزاید: «بهروزرسانیهای دریافتشده توسط برنامه امضاشده دسکتاپ 3CX از منبع بهروزرسانی قانونی 3CX میآیند، بنابراین در ابتدا، این طبیعی به نظر میرسد». بسیاری از کاربران نهایی انتظار نداشتند که برنامه اصلی و معتبر 3CX به طور ناگهانی زنگ خطر را از آنتی ویروس یا محصولات امنیتی آنها به صدا درآورد، و در جدول زمانی اولیه که اطلاعات زیادی کشف نشده بود، و برخی سردرگمی ها در مورد اینکه آیا فعالیت انجام شده است یا خیر وجود داشت. او می گوید بدخواه است یا نه.
Shades of SolarWinds & Kaseya
هاموند این حادثه را با نقض در SolarWinds و در Kaseya.
با SolarWinds، مهاجمان - احتمالاً با سرویس اطلاعات خارجی روسیه مرتبط هستند - به محیط ساخت شرکت نفوذ کردند و چند خط کد مخرب را در بهروزرسانیهای نرمافزار مدیریت شبکه Orion وارد کردند. حدود 18,000 مشتری بهروزرسانیها را دریافت کردند، اما عامل تهدید واقعاً فقط تعداد کمی از آنها را برای مصالحه بعدی هدف قرار میداد.
La حمله به VSA Kaseya فناوری مدیریت از راه دور منجر به این شد که بیش از 1,000 مشتری پایین دستی مشتریان ارائه دهنده خدمات مدیریت شده آن تحت تأثیر قرار گرفته و متعاقباً برای تحویل باج افزار مورد هدف قرار گیرند. این دو حمله نمونههایی از روند رو به رشد عوامل تهدید هستند که ارائهدهندگان نرمافزار و نهادهای مورد اعتماد را هدف قرار میدهند. زنجیره تامین نرم افزار برای دستیابی به مجموعه گسترده ای از قربانیان. نگرانی ها در مورد این تهدید، رئیس جمهور بایدن را بر آن داشت دستور اجرایی صادر کنید در می 2021 که شامل الزامات خاصی برای تقویت امنیت زنجیره تامین بود.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/endpoint/automatic-officlal-updates-malicious-3cx-enterprises
- :است
- 000
- 000 مشتری
- 1
- 11
- 2021
- 7
- a
- دسترسی
- فعال
- فعالیت
- بازیگران
- اضافی
- می افزاید:
- پیشرفته
- پس از
- نمایندگی
- هشدار
- معرفی
- هر چند
- امریکایی
- امریکن اکسپرس
- در میان
- روانکاو
- و
- دیگر
- آنتی ویروس
- نرم افزار
- ظاهر شدن
- کاربرد
- برنامه های کاربردی
- برنامه های
- APT
- هستند
- وارد می شود
- AS
- ارزیابی
- At
- حمله
- حمله
- اتوماتیک
- بطور خودکار
- در دسترس
- بد
- BE
- پشت سر
- بودن
- باور
- زنگ ها
- بایدن
- پهن
- گسترده تر
- شکست
- ساختن
- ساخته
- دفتر
- کسب و کار
- by
- کمپین بین المللی حقوق بشر
- مدیر عامل شرکت
- گواهینامه ها
- زنجیر
- بررسی
- CISO
- ادعای
- مشتری
- كاكائو
- رمز
- درخت کولا
- آینده
- ارتباط
- شرکت
- شرکت
- کامل
- به طور کامل
- سازش
- در معرض خطر
- کامپیوتر
- نگرانی ها
- انجام
- کنفرانس
- اعتماد به نفس
- گیجی
- میتوانست
- در حال حاضر
- مشتریان
- روزانه
- داده ها
- روز
- ارائه
- تحویل داده
- تحویل
- تحویل
- دسکتاپ
- پروژه
- DID
- مختلف
- دیجیتالی
- مدیر
- پایین
- دانلود
- قطره
- پویا
- در اوایل
- تلاش
- هر دو
- رمزگذاری
- شرکت
- اشخاص
- محیط
- اساسا
- مثال ها
- اجرا کردن
- اجرا می کند
- اجرایی
- انتظار
- قرار گرفتن در معرض
- صریح
- کمی از
- پرونده
- فایل ها
- نهایی
- شرکت ها
- نام خانوادگی
- برای
- خارجی
- پزشکی قانونی
- از جانب
- قابلیت
- افزایش
- سوالات عمومی
- رفتن
- گروه
- در حال رشد
- هک
- مشت
- اتفاق افتاده است
- مخلوط
- آیا
- زیاد
- میزبان
- میزبان
- چگونه
- اما
- HTTPS
- بزرگ
- شناسایی
- شناسه
- تأثیر
- نهفته
- in
- حادثه
- نشانه
- اطلاعات
- در عوض
- اطلاعات
- هوشمند
- موضوع
- IT
- ITS
- جان
- JPG
- دانستن
- شناخته شده
- کشور کره
- فرود
- بزرگتر
- آخرین
- جذامی
- گروه لازاروس
- کتابخانه ها
- پسندیدن
- احتمالا
- خطوط
- ارتباط دادن
- مرتبط
- بار
- مطالب
- مک
- اصلی
- عمده
- نرم افزارهای مخرب
- اداره می شود
- مدیریت
- روش
- کتابچه راهنمای
- بسیاری
- مارس
- تطبیق
- مکدونالد
- پیام
- پیام
- مایکروسافت
- ویندوز مایکروسافت
- میلیون
- بیش
- چندگانه
- نام
- شبکه
- جدید
- طبیعی
- به طور معمول
- شمال
- کره شمالی
- اشاره کرد
- تعداد
- متعدد
- of
- رسمی
- on
- ONE
- اصلی
- بخش
- PBX
- تصویر
- پیر
- خط لوله
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- پتانسیل
- رئيس جمهور
- رئیس جمهور پیشنهاد
- قبلی
- اصلی
- روند
- تولید
- محصولات
- ارائه دهنده
- ارائه دهندگان
- عمومی
- عمومی
- کشد
- تحت فشار قرار دادند
- باجافزار
- رسیدن به
- رسیدن به
- اخذ شده
- منظم
- بقایای
- دور
- جایگزین
- گزارش
- گزارش ها
- مورد نیاز
- تحقیق
- پژوهشگر
- محققان
- نتیجه
- RGB
- در حال اجرا
- روسیه
- s
- سعید
- همان
- می گوید:
- جستجو
- دوم
- تیم امنیت لاتاری
- ارشد
- سرور
- سرویس
- ارائه دهنده خدمات
- تنظیم
- محیط
- هفت
- حمل
- باید
- ساید بای ساید
- امضاء شده
- کوچک
- So
- تا حالا
- نرم افزار
- SolarWinds
- برخی از
- منبع
- خاص
- صحنه
- هنوز
- متعاقب
- متعاقبا
- عرضه
- زنجیره تامین
- مناسب
- سیستم
- سیستم های
- هدف قرار
- هدف گذاری
- اهداف
- تیم
- پیشرفته
- که
- La
- شان
- آنها
- اینها
- تهدید
- بازیگران تهدید
- از طریق
- زمان
- جدول زمانی
- به
- جمع
- تویوتا
- روند
- مورد اعتماد
- واحد
- بروزرسانی
- به روز رسانی
- ارتقاء
- استفاده کنید
- کاربر
- کاربران
- فروشندگان
- نسخه
- از طريق
- قربانیان
- تصویری
- کنفرانس ویدیویی
- هشدار
- مسیر..
- وب
- سایت اینترنتی
- خوب
- چی
- چه
- که
- در حین
- به طور گسترده ای
- پنجره
- با
- کارگر
- با این نسخهها کار
- در سرتاسر جهان
- خواهد بود
- زفیرنت