یک حمله زنجیره تامین جدید که مشتریان یک سیستم تلفنی با ۱۲ میلیون کاربر را هدف قرار می دهد

به گزارش اپ خونه، چندین شرکت امنیتی زنگ خطر حمله زنجیره تامین فعال را به صدا درآورده اند که از نسخه تروجانیزه* شده کلاینت تماس صوتی و تصویری پرکاربرد 3CX برای هدف قرار دادن مشتریان پایین دستی استفاده می کند.

*تروجان ها برنامه هایی هستند که ادعا می کنند یک عملکرد را انجام می دهند اما در واقع عملکرد دیگری را انجام می دهند که معمولاً مخرب است. تروجان ها می توانند به شکل پیوست ها، دانلودها و فیلم ها یا برنامه های جعلی باشند.

3CX توسعه‌دهنده یک سیستم تلفن مبتنی بر نرم‌افزار است که توسط بیش از ۶۰۰۰۰۰ سازمان در سراسر جهان از جمله BMW، مک‌دونالد و سرویس بهداشت ملی بریتانیا استفاده می‌شود.

این شرکت ادعا می کند روزانه بیش از ۱۲ میلیون کاربر در سراسر جهان دارد.

محققان شرکت‌های امنیت سایبری CrowdStrike، Sophos و SentinelOne  پست‌های وبلاگی را منتشر کردند که در آن جزئیات یک حمله به سبک SolarWinds – که توسط SentinelOne “Smooth Operator” نامیده شده است – منتشر کردند که شامل تحویل نصب‌کننده‌های تروجان‌شده 3CXDesktopApp برای نصب بدافزارهای اطلاعاتی در داخل شبکه‌های شرکتی است.

این بدافزار می‌تواند اطلاعات سیستم را جمع‌آوری کند و داده‌ها و اعتبارنامه‌های ذخیره‌شده را از نمایه‌های کاربر Google Chrome ، Microsoft Edge، Brave و Firefox به سرقت ببرد.

طبق گفته CrowdStrike، سایر فعالیت های مخرب مشاهده شده شامل نشان دادن به زیرساخت های کنترل شده توسط بازیگر، استقرار بارهای مرحله دوم و در تعداد کمی از موارد، “فعالیت دست روی صفحه کلید” است.

محققان امنیتی گزارش می دهند که مهاجمان هر دو نسخه ویندوز و macOS برنامه VoIP در معرض خطر را هدف قرار می دهند. در حال حاضر، به نظر می رسد نسخه های لینوکس، iOS و اندروید تحت تاثیر قرار نگرفته اند.

محققان در SentinelOne گفتند که برای اولین بار نشانه هایی از فعالیت های مخرب را در ۲۲ مارس مشاهده کردند و بلافاصله این ناهنجاری ها را بررسی کردند، که منجر به کشف این شد که برخی از سازمان ها در تلاش برای نصب یک نسخه تروجانیزه شده از برنامه دسکتاپ 3CX بودند که با گواهی دیجیتال معتبر امضا شده بود.

پاتریک واردل، کارشناس امنیتی اپل نیز متوجه شد که اپل این بدافزار را محضری کرده است، به این معنی که شرکت آن را برای بدافزار بررسی کرده و هیچ کدام شناسایی نشده است.

3CX CISO Pierre Jourdan گفت که این شرکت از یک “مشکل امنیتی” که بر برنامه های ویندوز و مک بوک آن تأثیر می گذارد آگاه است.

جوردان خاطرنشان می کند که به نظر می رسد این یک “حمله هدفمند از سوی یک تهدید مداوم پیشرفته، شاید حتی تحت حمایت دولت” بوده است.

CrowdStrike نشان می دهد که بازیگر تهدید کره شمالی، Labyrinth Chollima، زیرگروهی از گروه بدنام Lazarus ، در پشت حمله زنجیره تامین قرار دارد.

به عنوان یک راه حل، شرکت 3CX از مشتریان خود می خواهد که برنامه را حذف نصب کرده و دوباره آن را نصب کنند، یا در عوض از مشتری PWA خود استفاده کنند.

جوردان گفت : « در عین حال ما از آنچه رخ داده است عذرخواهی می کنیم و تمام تلاش خود را برای جبران این خطا انجام خواهیم داد.»

“چیزهای زیادی وجود دارد که ما هنوز درباره حمله زنجیره تامین 3CX نمی دانیم، از جمله اینکه چه تعداد از سازمان ها به طور بالقوه در معرض خطر قرار گرفته اند. به گفته Shodan.io، سایتی که دستگاه‌های متصل به اینترنت را نقشه‌برداری می‌کند، در حال حاضر بیش از ۲۴۰۰۰۰ سیستم مدیریت تلفن 3CX در معرض عموم قرار دارند.”