هناك هجوم سلسلة إمداد جديد يستهدف عملاء نظام هاتف يضم 12 مليون مستخدم
هناك هجوم سلسلة إمداد جديد يستهدف عملاء نظام هاتف يضم 12 مليون مستخدم
دقت العديد من شركات الأمن ناقوس الخطر حول هذا الموضوع هجوم سلسلة إمداد نشط يستخدم نسخة طروادة من 3CX’s عميل مكالمات الصوت والفيديو واسع الاستخدام لاستهداف عملاء المصب.
3CX هي مطور نظام هاتف قائم على البرامج تستخدمه أكثر من 600000 منظمة حول العالم ، بما في ذلك American Express و BMW و McDonald’s وخدمة الصحة الوطنية في المملكة المتحدة. تدعي الشركة أن لديها أكثر من 12 مليون مستخدم يوميًا حول العالم.
نشر باحثون من شركات الأمن السيبراني CrowdStrike و Sophos و SentinelOne يوم الأربعاء منشورات مدونة توضح بالتفصيل هجومًا على غرار SolarWinds – أطلق عليه SentinelOne اسم “Smooth Operator” – والذي يتضمن تسليم مثبتي طروادة 3CXDesktopApp لتثبيت البرامج الضارة الخبيثة داخل شبكات الشركة.
هذه البرامج الضارة قادرة على جمع معلومات النظام وسرقة البيانات وبيانات الاعتماد المخزنة منها جوجل كروموملفات تعريف مستخدمي Microsoft Edge و Brave و Firefox. تشمل الأنشطة الخبيثة الأخرى التي تمت ملاحظتها إرسال إشارات إلى البنية التحتية التي يتحكم فيها الممثل ، ونشر حمولات المرحلة الثانية ، وفي عدد قليل من الحالات ، “نشاط التدريب العملي على لوحة المفاتيح” ، وفقًا لـ CrowdStrike.
أفاد باحثو الأمن أن المهاجمين يستهدفون كلاً من إصدارات Windows و macOS من تطبيق VoIP المخترق. في الوقت الحالي ، يبدو أن إصدارات Linux و iOS و Android لم تتأثر.
قال الباحثون في SentinelOne إنهم رأوا لأول مرة مؤشرات على نشاط ضار في 22 مارس وقاموا على الفور بالتحقيق في الحالات الشاذة ، مما أدى إلى اكتشاف أن بعض المنظمات كانت تحاول تثبيت نسخة طروادة من تطبيق سطح المكتب 3CX الذي تم توقيعه بشهادة رقمية صالحة. خبير الأمن في Apple باتريك واردل أيضًا وجد أن شركة آبل قامت بتوثيق البرامج الضارة ، مما يعني أن الشركة قامت بفحصها بحثًا عن برامج ضارة ولم يتم اكتشاف أي منها.
3CX CISO بيير جوردان قال قالت الشركة يوم الخميس إنها على علم بوجود “مشكلة أمنية” تؤثر على تطبيقات Windows و MacBook الخاصة بها.
ويشير جوردان إلى أن هذا يبدو أنه كان “هجومًا مستهدفًا من تهديد متقدم ومستمر ، وربما حتى مدعوم من الدولة”. تشير CrowdStrike إلى أن ممثل التهديد الكوري الشمالي Labyrinth Chollima ، وهو مجموعة فرعية من مجموعة Lazarus Group سيئة السمعة ، وراء هجوم سلسلة التوريد.
كحل بديل ، تحث شركة 3CX عملائها على إلغاء تثبيت التطبيق وتثبيته مرة أخرى ، أو بدلاً من ذلك استخدام عميل PWA. “في غضون ذلك ، نعتذر بغزارة عما حدث وسنفعل كل ما في وسعنا لتعويض هذا الخطأ ، “قال جوردان.
هناك الكثير من الأشياء التي لا نعرفها حتى الآن عن هجوم سلسلة التوريد 3CX ، بما في ذلك عدد المؤسسات التي يُحتمل تعرضها للاختراق. وفقًا لموقع Shodan.io ، وهو موقع يرسم خرائط للأجهزة المتصلة بالإنترنت ، يوجد حاليًا أكثر من 240.000 نظام إدارة هاتف 3CX مكشوف بشكل عام.