اخبار اینترنت

یک حمله زنجیره تامین جدید که مشتریان یک سیستم تلفنی با ۱۲ میلیون کاربر را هدف قرار می دهد

به گزارش اپ خونه، چندین شرکت امنیتی زنگ خطر حمله زنجیره تامین فعال را به صدا درآورده اند که از نسخه تروجانیزه* شده کلاینت تماس صوتی و تصویری پرکاربرد ۳CX برای هدف قرار دادن مشتریان پایین دستی استفاده می کند.

*تروجان ها برنامه هایی هستند که ادعا می کنند یک عملکرد را انجام می دهند اما در واقع عملکرد دیگری را انجام می دهند که معمولاً مخرب است. تروجان ها می توانند به شکل پیوست ها، دانلودها و فیلم ها یا برنامه های جعلی باشند.

۳CX توسعه‌دهنده یک سیستم تلفن مبتنی بر نرم‌افزار است که توسط بیش از ۶۰۰۰۰۰ سازمان در سراسر جهان از جمله BMW، مک‌دونالد و سرویس بهداشت ملی بریتانیا استفاده می‌شود.

این شرکت ادعا می کند روزانه بیش از ۱۲ میلیون کاربر در سراسر جهان دارد.

محققان شرکت‌های امنیت سایبری CrowdStrike، Sophos و SentinelOne  پست‌های وبلاگی را منتشر کردند که در آن جزئیات یک حمله به سبک SolarWinds – که توسط SentinelOne “Smooth Operator” نامیده شده است – منتشر کردند که شامل تحویل نصب‌کننده‌های تروجان‌شده ۳CXDesktopApp برای نصب بدافزارهای اطلاعاتی در داخل شبکه‌های شرکتی است.

این بدافزار می‌تواند اطلاعات سیستم را جمع‌آوری کند و داده‌ها و اعتبارنامه‌های ذخیره‌شده را از نمایه‌های کاربر Google Chrome ، Microsoft Edge، Brave و Firefox به سرقت ببرد.

طبق گفته CrowdStrike، سایر فعالیت های مخرب مشاهده شده شامل نشان دادن به زیرساخت های کنترل شده توسط بازیگر، استقرار بارهای مرحله دوم و در تعداد کمی از موارد، “فعالیت دست روی صفحه کلید” است.

محققان امنیتی گزارش می دهند که مهاجمان هر دو نسخه ویندوز و macOS برنامه VoIP در معرض خطر را هدف قرار می دهند. در حال حاضر، به نظر می رسد نسخه های لینوکس، iOS و اندروید تحت تاثیر قرار نگرفته اند.

محققان در SentinelOne گفتند که برای اولین بار نشانه هایی از فعالیت های مخرب را در ۲۲ مارس مشاهده کردند و بلافاصله این ناهنجاری ها را بررسی کردند، که منجر به کشف این شد که برخی از سازمان ها در تلاش برای نصب یک نسخه تروجانیزه شده از برنامه دسکتاپ ۳CX بودند که با گواهی دیجیتال معتبر امضا شده بود.

پاتریک واردل، کارشناس امنیتی اپل نیز متوجه شد که اپل این بدافزار را محضری کرده است، به این معنی که شرکت آن را برای بدافزار بررسی کرده و هیچ کدام شناسایی نشده است.

۳CX CISO Pierre Jourdan گفت که این شرکت از یک “مشکل امنیتی” که بر برنامه های ویندوز و مک بوک آن تأثیر می گذارد آگاه است.

جوردان خاطرنشان می کند که به نظر می رسد این یک “حمله هدفمند از سوی یک تهدید مداوم پیشرفته، شاید حتی تحت حمایت دولت” بوده است.

CrowdStrike نشان می دهد که بازیگر تهدید کره شمالی، Labyrinth Chollima، زیرگروهی از گروه بدنام Lazarus ، در پشت حمله زنجیره تامین قرار دارد.

به عنوان یک راه حل، شرکت ۳CX از مشتریان خود می خواهد که برنامه را حذف نصب کرده و دوباره آن را نصب کنند، یا در عوض از مشتری PWA خود استفاده کنند.

جوردان گفت : « در عین حال ما از آنچه رخ داده است عذرخواهی می کنیم و تمام تلاش خود را برای جبران این خطا انجام خواهیم داد.»

“چیزهای زیادی وجود دارد که ما هنوز درباره حمله زنجیره تامین ۳CX نمی دانیم، از جمله اینکه چه تعداد از سازمان ها به طور بالقوه در معرض خطر قرار گرفته اند. به گفته Shodan.io، سایتی که دستگاه‌های متصل به اینترنت را نقشه‌برداری می‌کند، در حال حاضر بیش از ۲۴۰۰۰۰ سیستم مدیریت تلفن ۳CX در معرض عموم قرار دارند.”

مقالات مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا