أكد مزود خدمات اتصالات المؤسسات 3CX أن هجوم سلسلة التوريد الذي استهدف تطبيق سطح المكتب الخاص به لنظامي التشغيل Windows و macOS كان من صنع جهة فاعلة مهددة مع الرابطة الكورية الشمالية.
هذه النتائج هي نتيجة تقييم مؤقت أجرته شركة Mandiant المملوكة لشركة Google ، والتي تم إدراج خدماتها بعد ظهور الاقتحام في أواخر الشهر الماضي. تقوم وحدة استخبارات التهديدات والاستجابة للحوادث بتتبع النشاط تحت لقبها غير المصنف UNC4736 .
تجدر الإشارة إلى أن شركة الأمن السيبراني CrowdStrike قد عزت الهجوم إلى مجموعة فرعية من نوع Lazarus يطلق عليها اسم Labyrinth Chollima ، مستشهدة بالتداخلات التكتيكية.
استلزمت سلسلة الهجوم ، المستندة إلى تحليلات من بائعي خدمات أمنية متعددين ، استخدام تقنيات التحميل الجانبي لـ DLL لتحميل أداة سرقة معلومات تُعرف باسم ICONIC Stealer ، تليها مرحلة ثانية تسمى Gopuram في هجمات انتقائية تستهدف شركات التشفير.
كشف التحقيق الجنائي الذي أجرته Mandiant الآن أن الجهات المهددة أصابت أنظمة 3CX ببرنامج ضار يحمل الاسم الرمزي TAXHAUL مصمم لفك تشفير وتحميل كود قشرة يحتوي على "برنامج تنزيل معقد" يسمى COLDCAT.
قال 3CX: "على نظام التشغيل Windows ، استخدم المهاجم التحميل الجانبي لـ DLL لتحقيق استمرارية برنامج TAXHAUL الضار" . "تضمن آلية الاستمرارية أيضًا تحميل البرامج الضارة للمهاجم عند بدء تشغيل النظام ، مما يمكّن المهاجم من الاحتفاظ بالوصول عن بُعد إلى النظام المصاب عبر الإنترنت."
وقالت الشركة كذلك إن DLL الخبيث (wlbsctrl.dll) تم تحميله بواسطة خدمة Windows IKE و AuthIP IPsec Keying Modules ( IKEEXT ) من خلال svchost.exe ، وهي عملية نظام شرعية.
يُقال إن أنظمة macOS المستهدفة في الهجوم قد تم اختراقها باستخدام سلالة أخرى من البرامج الضارة يشار إليها باسم SIMPLESEA ، وهو برنامج ضار قائم على لغة C ويتواصل عبر HTTP لتشغيل أوامر shell ونقل الملفات وتحديث التكوينات.
تمت ملاحظة عائلات البرامج الضارة التي تم اكتشافها في بيئة 3CX للاتصال بأربعة خوادم على الأقل للقيادة والتحكم (C2): azureonlinecloud [.] com و akamaicontainer [.] com و journalide [.] org و msboxonline [.] com .
قال الرئيس التنفيذي لشركة 3CX ، نيك جاليا ، في أحد المنتديات الأسبوع الماضي ، إن الشركة على دراية فقط بـ "عدد قليل من الحالات" التي تم فيها تنشيط البرامج الضارة بالفعل وأنها تعمل على "تعزيز سياساتنا وممارساتنا وتقنياتنا للحماية من الهجمات المستقبلية . " ومنذ ذلك الحين ، تم توفير تطبيق محدث للعملاء.
لم يتم تحديد كيفية تمكن الجهات الفاعلة في التهديد من اقتحام شبكة 3CX وما إذا كان ذلك ينطوي على تسليح نقطة ضعف معروفة أو غير معروفة. يتم تتبع حل سلسلة التوريد تحت المعرف CVE-2023-29059 (درجة CVSS: 7.8).