به گزارش اپ خونه، چندین شرکت امنیتی زنگ خطر حمله زنجیره تامین فعال را به صدا درآورده اند که از نسخه تروجانیزه* شده کلاینت تماس صوتی و تصویری پرکاربرد ۳CX برای هدف قرار دادن مشتریان پایین دستی استفاده می کند.
*تروجان ها برنامه هایی هستند که ادعا می کنند یک عملکرد را انجام می دهند اما در واقع عملکرد دیگری را انجام می دهند که معمولاً مخرب است. تروجان ها می توانند به شکل پیوست ها، دانلودها و فیلم ها یا برنامه های جعلی باشند.
۳CX توسعهدهنده یک سیستم تلفن مبتنی بر نرمافزار است که توسط بیش از ۶۰۰۰۰۰ سازمان در سراسر جهان از جمله BMW، مکدونالد و سرویس بهداشت ملی بریتانیا استفاده میشود.
این شرکت ادعا می کند روزانه بیش از ۱۲ میلیون کاربر در سراسر جهان دارد.
محققان شرکتهای امنیت سایبری CrowdStrike، Sophos و SentinelOne پستهای وبلاگی را منتشر کردند که در آن جزئیات یک حمله به سبک SolarWinds – که توسط SentinelOne “Smooth Operator” نامیده شده است – منتشر کردند که شامل تحویل نصبکنندههای تروجانشده ۳CXDesktopApp برای نصب بدافزارهای اطلاعاتی در داخل شبکههای شرکتی است.
این بدافزار میتواند اطلاعات سیستم را جمعآوری کند و دادهها و اعتبارنامههای ذخیرهشده را از نمایههای کاربر Google Chrome ، Microsoft Edge، Brave و Firefox به سرقت ببرد.
طبق گفته CrowdStrike، سایر فعالیت های مخرب مشاهده شده شامل نشان دادن به زیرساخت های کنترل شده توسط بازیگر، استقرار بارهای مرحله دوم و در تعداد کمی از موارد، “فعالیت دست روی صفحه کلید” است.
محققان امنیتی گزارش می دهند که مهاجمان هر دو نسخه ویندوز و macOS برنامه VoIP در معرض خطر را هدف قرار می دهند. در حال حاضر، به نظر می رسد نسخه های لینوکس، iOS و اندروید تحت تاثیر قرار نگرفته اند.
محققان در SentinelOne گفتند که برای اولین بار نشانه هایی از فعالیت های مخرب را در ۲۲ مارس مشاهده کردند و بلافاصله این ناهنجاری ها را بررسی کردند، که منجر به کشف این شد که برخی از سازمان ها در تلاش برای نصب یک نسخه تروجانیزه شده از برنامه دسکتاپ ۳CX بودند که با گواهی دیجیتال معتبر امضا شده بود.
پاتریک واردل، کارشناس امنیتی اپل نیز متوجه شد که اپل این بدافزار را محضری کرده است، به این معنی که شرکت آن را برای بدافزار بررسی کرده و هیچ کدام شناسایی نشده است.
۳CX CISO Pierre Jourdan گفت که این شرکت از یک “مشکل امنیتی” که بر برنامه های ویندوز و مک بوک آن تأثیر می گذارد آگاه است.
جوردان خاطرنشان می کند که به نظر می رسد این یک “حمله هدفمند از سوی یک تهدید مداوم پیشرفته، شاید حتی تحت حمایت دولت” بوده است.
CrowdStrike نشان می دهد که بازیگر تهدید کره شمالی، Labyrinth Chollima، زیرگروهی از گروه بدنام Lazarus ، در پشت حمله زنجیره تامین قرار دارد.
به عنوان یک راه حل، شرکت ۳CX از مشتریان خود می خواهد که برنامه را حذف نصب کرده و دوباره آن را نصب کنند، یا در عوض از مشتری PWA خود استفاده کنند.
جوردان گفت : « در عین حال ما از آنچه رخ داده است عذرخواهی می کنیم و تمام تلاش خود را برای جبران این خطا انجام خواهیم داد.»
“چیزهای زیادی وجود دارد که ما هنوز درباره حمله زنجیره تامین ۳CX نمی دانیم، از جمله اینکه چه تعداد از سازمان ها به طور بالقوه در معرض خطر قرار گرفته اند. به گفته Shodan.io، سایتی که دستگاههای متصل به اینترنت را نقشهبرداری میکند، در حال حاضر بیش از ۲۴۰۰۰۰ سیستم مدیریت تلفن ۳CX در معرض عموم قرار دارند.”
