أكدت شركة 3CX المصنعة لبرامج اتصالات المؤسسات يوم الخميس أن العديد من إصدارات تطبيق سطح المكتب لنظامي التشغيل Windows و macOS قد تأثرت بهجوم سلسلة التوريد .
تتضمن أرقام الإصدارات 18.12.407 و 18.12.416 لنظام التشغيل Windows و 18.11.1213 و 18.12.402 و 18.12.407 و 18.12.416 لنظام التشغيل macOS.
وقالت الشركة إنها تستعين بخدمات Mandiant المملوكة لشركة Google لمراجعة الحادث. في غضون ذلك ، تحث عملاءها من إصدارات البرنامج ذاتية الاستضافة والمحلية على التحديث إلى الإصدار 18.12.422.
قال نيك جاليا الرئيس التنفيذي لشركة 3CX في منشور يوم الخميس: "لا يحتاج مستخدمو 3CX Hosted و StartUP إلى تحديث خوادمهم لأننا سنقوم بتحديثها طوال الليل تلقائيًا" . "ستتم إعادة تشغيل الخوادم وسيتم تثبيت تطبيق Electron App MSI / DMG الجديد على الخادم."
تشير الأدلة المتوفرة حتى الآن إما إلى حل وسط لخط أنابيب إنشاء برامج 3CX لتوزيع إصدارات Windows و macOS من حزمة التطبيق ، أو بدلاً من ذلك ، إفساد التبعية الأولية. حجم الهجوم غير معروف حاليا.
يُقال إن الفترة الأولى للنشاط الضار المحتمل تم اكتشافها في 22 مارس 2023 أو حوالي ذلك التاريخ ، وفقًا لمنشور على منتدى 3CX ، على الرغم من أن الاستعدادات للحملة قد بدأت في موعد أقصاه فبراير 2022.
قالت شركة 3CX إن التنبيه الأولي الذي يشير إلى مشكلة أمنية محتملة في تطبيقها الأسبوع الماضي تم التعامل معه على أنه "إيجابي كاذب" نظرًا لحقيقة أن أيا من محركات مكافحة الفيروسات على VirusTotal وصفها بأنها مشبوهة أو برامج ضارة.
استفاد إصدار Windows من الهجوم من تقنية تسمى التحميل الجانبي لـ DLL لتحميل مكتبة شريرة يشار إليها باسم "ffmpeg.dll" والتي تم تصميمها لقراءة كود قشرة مشفر من DLL آخر يسمى "d3dcompiler_47.dll".
تضمن ذلك الوصول إلى مستودع GitHub لاسترداد ملف ICO الذي يحتوي على عناوين URL التي تستضيف حمولة المرحلة النهائية ، وسرقة المعلومات (التي يطلق عليها اسم ICONIC Stealer أو SUDDENICON ) القادرة على جمع معلومات النظام والبيانات الحساسة المخزنة في متصفحات الويب.
وقال كارلو زانكي ، الباحث الأمني في ريفيرسينج لابز: "لم يكن اختيار هذين المكونين من ملفات DLL - ffmpeg و d3dcompiler_47 - من قبل الجهات الفاعلة التي تقف وراء هذا الهجوم من قبيل الصدفة" .
"الهدف المعني ، 3CXDesktopApp ، مبني على إطار عمل Electron مفتوح المصدر. تأتي كلتا المكتبتين المعنيتين عادةً مع وقت تشغيل Electron ، وبالتالي ، من غير المرجح أن تثير الشكوك داخل بيئات العملاء."
على نفس المنوال ، تجاوزت سلسلة هجمات macOS فحوصات التوثيق من Apple لتنزيل حمولة غير معروفة من خادم القيادة والتحكم (C2) الذي لا يستجيب حاليًا.
قال Volexity ، الذي يتتبع النشاط تحت العنقود UTA0040 : "إصدار macOS لا يستخدم GitHub لاسترداد خادم C2 الخاص به" . "بدلاً من ذلك ، يتم تخزين قائمة بخوادم C2 في الملف المشفر بمفتاح XOR بايت واحد ، 0x7A."
عزت شركة CrowdStrike للأمن السيبراني ، في استشارة خاصة بها ، الهجوم بثقة عالية إلى Labyrinth Chollima (المعروفة أيضًا باسم Nickel Academy ) ، وهي ممثلة ترعاها الدولة متحالفة مع كوريا الشمالية.
"يُنسب النشاط ، الذي يستهدف العديد من المؤسسات عبر نطاق واسع من القطاعات دون أي أنماط واضحة ، إلى Labyrinth Chollima استنادًا إلى البنية التحتية للشبكة المرصودة المرتبطة بشكل فريد بهذا الخصم وتقنيات التثبيت المماثلة ومفتاح RC4 المعاد استخدامه ،" آدم مايرز ، قال نائب الرئيس الأول للاستخبارات في CrowdStrike لصحيفة The Hacker News.
"تستدعي تطبيقات 3CX ذات أحصنة طروادة متغيرًا من ArcfeedLoader ، وهو برنامج ضار يُنسب بشكل فريد إلى Labyrinth Chollima."
Labyrinth Chollima ، وفقًا لشركة مقرها في تكساس ، هي مجموعة فرعية من مجموعة Lazarus Group ، والتي تضم أيضًا Silent Chollima (المعروف أيضًا باسم Andariel أو Nickel Hyatt) و Stardust Chollima (المعروف أيضًا باسم BlueNoroff أو Nickel Gladstone).
قال مايرز إن الفاعل المهدد "نشط على الأقل منذ عام 2009 ويحاول عادةً تحقيق إيرادات من خلال استهداف المؤسسات المالية والتشفيرية" ، مضيفًا أنه "من المحتمل أن يكون تابعًا للمكتب 121 التابع للمكتب العام للاستطلاع في جمهورية كوريا الشعبية الديمقراطية (RGB) ويقوم بعمليات تجسس بشكل أساسي . ومخططات إدرار الدخل ".