-->
الصفحة الرئيسية

هجوم سلسلة التوريد لتطبيق سطح المكتب 3CX يترك الملايين في خطر - تحديث عاجل على الطريق!



قالت شركة 3CX إنها تعمل على تحديث برنامج لتطبيق سطح المكتب الخاص بها بعد أن أطلق العديد من بائعي الأمن السيبراني ناقوس الخطر بشأن ما يبدو أنه هجوم نشط لسلسلة التوريد يستخدم مُثبِّتين موقَّعين رقميًا ومزورون لبرامج مؤتمرات الصوت والفيديو الشهيرة لاستهداف عملاء المصب.

قال باحثو SentinelOne: "إن تطبيق سطح المكتب 3CX ذو طروادة هو المرحلة الأولى في سلسلة هجوم متعددة المراحل تسحب ملفات ICO الملحقة ببيانات Base64 من GitHub وتؤدي في النهاية إلى ملف DLL من المرحلة الثالثة" .

تتعقب شركة الأمن السيبراني النشاط تحت اسم SmoothOperator ، مشيرة إلى أن الفاعل سجل بنية تحتية ضخمة للهجوم منذ فبراير 2022. هناك مؤشرات على أن الهجوم ربما بدأ في 22 مارس 2023.

تدعي شركة 3CX ، الشركة التي تقف وراء 3CXDesktopApp ، أن لديها أكثر من 600000 عميل و 12 مليون مستخدم في 190 دولة ، وبعضها يشمل أسماء معروفة مثل American Express و BMW و Honda و Ikea و Pepsi و Toyota وغيرها.

بينما يتوفر عميل 3CX PBX لمنصات متعددة ، تُظهر بيانات القياس عن بُعد أن الهجمات التي تمت ملاحظتها حتى الآن تقتصر على عميل Windows Electron (الإصداران 18.12.407 و 18.12.416) وإصدارات macOS من نظام الهاتف PBX.

سلسلة العدوى ، باختصار ، تستفيد من تقنية التحميل الجانبي لـ DLL لتحميل DLL (ffmpeg.dll) الذي تم تصميمه لاسترداد حمولة ملف رمز (ICO). تم حذف مستودع GitHub الذي يستضيف الملف منذ ذلك الحين .


الحمولة النهائية عبارة عن أداة سرقة معلومات قادرة على جمع معلومات النظام والبيانات الحساسة المخزنة في متصفحات Google Chrome و Microsoft Edge و Brave و Mozilla Firefox.

نموذج macOS (ملف 381 ميغابايت) ، وفقًا للباحث الأمني ​​باتريك واردل ، يحمل توقيعًا صالحًا وموثقًا من قبل Apple ، مما يعني أنه يمكن تشغيله دون حظر نظام التشغيل.

يشتمل التطبيق الضار ، على غرار نظيره في Windows ، على ملف ثنائي Mach-O يسمى libffmpeg.dylib مصمم للوصول إلى خادم خارجي "pbxsources [.] com" لتنزيل ملف يسمى UpdateAgent وتنفيذه. الخادم غير متصل حاليا.

ذكرت Huntress أن هناك 242،519 أنظمة إدارة هاتف 3CX مكشوفة بشكل عام. وقالت شركة Symantec المملوكة لشركة Broadcom ، في تقرير استشاري خاص بها ، "من المفترض أن المعلومات التي تم جمعها بواسطة هذا البرنامج الضار سمحت للمهاجمين بقياس ما إذا كانت الضحية مرشحة لمزيد من التسوية".

وقالت Trend Micro: "نظرًا لاستخدامها على نطاق واسع وأهميتها في نظام الاتصال الخاص بالمؤسسة ، يمكن للجهات الفاعلة في التهديد أن تسبب ضررًا كبيرًا (على سبيل المثال ، من خلال مراقبة أو إعادة توجيه الاتصالات الداخلية والخارجية) للشركات التي تستخدم هذا البرنامج" .

قالت شركة CrowdStrike للأمن السيبراني إنها تنسب الهجوم بثقة عالية إلى ممثل دولة قومية كورية شمالية يتتبعه اسم Labyrinth Chollima (المعروف أيضًا باسم Nickel Academy) ، وهو مجموعة فرعية داخل مجموعة Lazarus Group سيئة السمعة.

وأضاف CrowdStrike: "يتضمن النشاط الخبيث إرسال إشارات للبنية التحتية التي يتحكم فيها الممثل ، ونشر حمولات المرحلة الثانية ، وفي عدد قليل من الحالات ، نشاط التدريب العملي على لوحة المفاتيح" .

في أحد المنتديات ، قال الرئيس التنفيذي لشركة 3CX ، نيك جاليا ، إنه بصدد إصدار بناء جديد خلال الساعات القليلة المقبلة ، وأشار إلى أن إصدارات Android و iOS لم تتأثر . وقال جاليا: "لسوء الحظ ، حدث هذا بسبب إصابة مكتبة نستخدمها في المنبع" ، دون أن يحدد مزيدًا من التفاصيل.

كحل بديل ، تحث الشركة عملائها على إلغاء تثبيت التطبيق وتثبيته مرة أخرى ، أو بدلاً من ذلك استخدام عميل PWA.

قال 3CX ، في تحديث لاحق ، "يبدو أن المشكلة هي إحدى المكتبات المجمعة التي قمنا بتجميعها في تطبيق Windows Electron عبر git" وأنها تحقق في الأمر بشكل أكبر.

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة