-->
الصفحة الرئيسية

تستهدف شركات العملات المشفرة هجوم سلسلة التوريد 3CX المتطور

 


قام الخصم الذي يقف وراء هجوم سلسلة التوريد الذي استهدف 3CX بنشر غرسة في المرحلة الثانية خصصت على وجه التحديد عددًا صغيرًا من شركات العملات المشفرة.

قالت شركة الأمن السيبراني الروسية Kaspersky ، التي تتعقب داخليًا الباب الخلفي متعدد الاستخدامات تحت اسم Gopuram منذ عام 2020 ، إنها لاحظت زيادة في عدد الإصابات في مارس 2023 بالتزامن مع اختراق 3CX.

تتمثل الوظيفة الأساسية لـ Gopuram في الاتصال بخادم الأوامر والتحكم (C2) وانتظار المزيد من التعليمات التي تسمح للمهاجمين بالتفاعل مع نظام ملفات الضحية ، وإنشاء العمليات ، وإطلاق ما يصل إلى ثماني وحدات في الذاكرة.

تنبع روابط الباب الخلفي لكوريا الشمالية من حقيقة أنها "تتعايش على الأجهزة الضحية مع AppleJeus ، وهو باب خلفي يُنسب إلى ممثل التهديد الناطق باللغة الكورية Lazarus" ، الذي يشرح بالتفصيل هجومًا على شركة تشفير لم يذكر اسمها تقع في جنوب شرق آسيا في عام 2020.

يُعد استهداف شركات العملات المشفرة علامة واضحة أخرى على تورط مجموعة Lazarus ، نظرًا لتركيز الفاعل المتكرر على الصناعة المالية لتحقيق أرباح غير مشروعة للدولة المتضررة من العقوبات.

كما قالت Kaspersky إنها حددت تداخل C2 مع خادم ("wirexpro [.] com") تم تحديده سابقًا على أنه مستخدم في حملة AppleJeus وثقتها Malwarebytes في ديسمبر 2022.

وأشارت الشركة إلى أنه "بما أن الباب الخلفي Gopuram قد تم نشره في أقل من عشر آلات مصابة ، فهذا يشير إلى أن المهاجمين استخدموا Gopuram بدقة جراحية" ، مضيفة أنه تم الكشف عن أعلى معدلات الإصابة في البرازيل وألمانيا وإيطاليا وفرنسا.

في حين أن سلسلة الهجوم التي تم اكتشافها حتى الآن تستلزم استخدام أدوات التثبيت المارقة لتوزيع سارق المعلومات (المعروف باسم ICONIC Stealer) ، تشير أحدث النتائج إلى أن الهدف النهائي للحملة ربما كان إصابة الأهداف بالباب الخلفي المعياري الكامل.

ومع ذلك ، فمن غير المعروف مدى نجاح الحملة ، وما إذا كانت قد أدت إلى السرقة الفعلية لبيانات حساسة أو عملة مشفرة. ومع ذلك ، فإنه يثير احتمال استخدام ICONIC Stealer كأداة استطلاعية لإلقاء شبكة واسعة وتحديد الأهداف ذات الأهمية لاستغلالها لاحقًا.

يأتي هذا التطوير في الوقت الذي كشفت فيه بلاك بيري أن "المرحلة الأولى من هذه العملية حدثت في مكان ما بين نهاية الصيف وبداية خريف 2022".

تم تسجيل غالبية محاولات الهجوم ، وفقًا للشركة الكندية ، في أستراليا والولايات المتحدة والمملكة المتحدة ، مع ظهور قطاعات الرعاية الصحية والأدوية وتكنولوجيا المعلومات والتمويل كأهم القطاعات المستهدفة.

ليس من الواضح حاليًا كيف حصل الفاعل على الوصول الأولي إلى شبكة 3CX ، وما إذا كان ينطوي على استغلال ثغرة أمنية معروفة أو غير معروفة. يتم تعقب التسوية تحت المعرف CVE-2023-29059 .

تشير الأدلة التي تم جمعها حتى الآن إلى أن المهاجمين قاموا بتسميم بيئة تطوير 3CX وقاموا بتسليم نسخ طروادة من التطبيق الشرعي لعملاء الشركة في نهاية المطاف في هجوم على سلسلة التوريد SolarWinds أو Kaseya .

تم رصد أحد المكونات الضارة المسؤولة عن استرداد سارق المعلومات ، وهو مكتبة باسم "d3dcompiler_47.dll" ، وهو يعمل على تسليح عيب Windows عمره 10 سنوات ( CVE-2013-3900 ) لدمج كود قشرة مشفر دون إبطال برنامج Microsoft الخاص به -توقيع صادر.

نقطة جديرة بالملاحظة هنا هي أن نفس الأسلوب تم تبنيه من قبل حملة برمجيات خبيثة ZLoader اكتشفتها شركة الأمن السيبراني الإسرائيلية Check Point Research في يناير 2022.

تأثرت الإصدارات المتعددة من تطبيق سطح المكتب - 18.12.407 و 18.12.416 لنظام التشغيل Windows و 18.11.1213 و 18.12.402 و 18.12.407 و 18.12.416 لنظام التشغيل macOS. ومنذ ذلك الحين ، قامت شركة 3CX بتثبيت الهجوم على "متسلل يتمتع بخبرة عالية وواسع المعرفة."

ربطت CrowdStrike الحادث بمجموعة دولة قومية متحالفة مع كوريا الشمالية تتعقبها تحت اسم Labyrinth Chollima ، وهي مجموعة فرعية ضمن مجموعة Lazarus Group.

author-img

Almoktachif Computer Technologie

تعليقات
ليست هناك تعليقات
إرسال تعليق
    الاسمبريد إلكترونيرسالة