روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ منابع مختلف رسانه‌ای در حال دادن گزارشی در مورد حمله زنجیره تأمین هستند که کاربران سیستم تلفن  3CX VoIP را مورد هدف قرار داده است. مهاجمین ناشناس تصمیم گرفته‌اند اپ‌های  3CX VoIP را هم روی ویندوز و هم مک‌اواس آلوده کنند. اکنون مجرمان سایبری دارند از طریق اپ مسلح امضاشده با 3CX معتبر حمله را پیش می‌برند. با ما همراه باشید.

فهرست آن دسته از کاربرانی که آلوده شدند بلند بالاست: شامل چیزی بیش از 600 هزار شرکت که بین آن‌ها برندهای شناخته‌شده‌ی جهانی هم مانند امریکن اکسپرس، بی‌ام دابلیو، ایرفرنس، تویوتا و آیکیا نیز وجود دارد. تعدادی از محققین نام این حمله را SmoothOperator گذاشته‌اند. ظاهراً تروجان‌ها در تمام نسخه‌های نرم‌افزار که بعد از تاریخ مارس 3 منتشر شده‌‌اند پنهان شدند و این یعنی سازه‌های 18.12.407 و 18.12.416 برای ویندوز و 18.11.1213 و جدیدتر برای مک‌اواس. به نقل از نمایندگان 3CX، کد مخرب به دلیل اینکه یک سری اجزای منبع باز تروجان‌زده که تیم توسعه استفاده‌شان می‌کردند وارد برنامه شده است.

حمله از طریق نرم‌افزار تروجان‌زده‌ی 3CX

ساز و کار حمله از طریق کلاینت ویندوز تروجان‌زده به شرح زیر است:

•         یا کاربر از وبسایت رسمی شرکت پکیج نصب را دانلود و اجرا کرده و یا برای برنامه‌ای از پیش نصب‌شده آپدیتی دریافت کرده
•         برنامه تروجان‌زده بعد از نصب چندین آرشیو مخرب که برای مرحله بعدی حمله استفاده می‌شود می‌سازد
•         بدافزار سپس فایل‌های  .ico را که با خطوط اضافی داده در داخل توسط گیت‌هاب میزبانی می‌شوند دانلود می‌کند
•         این خطوط سپس برای دانلود پی‌لود مخرب نهایی استفاده می‌شوند- همانی که برای حمله به کاربران نهایی استفاده می‌شود

مکانیزم برای حمله به کاربران مک‌اواس شاید کمی متفاوت باشد.

در مورد هکرها

بدافزار دانلودشده می‌تواند در مورد سیستم اطلاعات جمع کند و نیز داده‌ها را سرقت کرده و از پروفایل‌های کاربری مرورگرهای کروم، اج، بریو و فایرفاکس اطلاعات ذخیره کند. افزون بر این مهاجمین می‌توانند پوسه فرمان تعاملی را نیز به کار برند که به لحاظ تئوریک به آن‌ها اجازه می‌دهد هر کاری را با کامپیوتر قربانی انجام دهند. متخصصین کسپرسکی شروع کردند به بررسی بک‌در استفاده‌شده توسط مهاجمین؛ آن هم به عنوان بخشی از پی‌لود نهایی. طبق تحلیل آن‌ها این بک‌در که Gopuram نام دارد بیشتر در حملات رمزارزها و شرکت‌های مرتبط استفاده می‌شده. همچنین متخصصین شک دارند که –بنابر تعدادی سرنخ‌ها- گروه لازاروس پشت این حمله باشد.

مشخصاً چرا این حمله خطرناک است؟

به نقل از BleepingComputer نسخه تروجان‌زده‌ی برنامه با گواهی قانونی 3CX Ltd امضا شده است. علاوه بر این به نقل از Objective-See، نسخه مک‌اوس این بدافزار نه تنها با گواهی معتبر امضا شده که همچنین اپل هم تأییدش کرده! این یعنی اپ مذکور اجازه اجرا روی آخرین نسخه‌های مک‌اواس را دارد.

راهکارهای امنیتی

توسعه‌دهندگان این اپ به شدت توصیه دارند نسخه‌های تروجان‌زده‌ی این برنامه را تا زمانیکه آپدیتی منتشر نشده از حالت نصب خارج کنند. همچنین خوب است اگر روی این رخداد بررسی‌هایی شود تا اطمینان حاصل شود مهاجمین وقت این را پیدا نکردند کامپیوترهای شرکت را در اختیار گیرند. در کل برای کنترل اتفاقاتی که روی شبکه سازمانی می‌افتد و به منظور تشخیص به موقع فعالیت مخرب توصیه می‌کنیم از خدمات Managed Detection and Response (کلاس MDR) استفاده کنید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.