كان هجوم سلسلة التوريد الذي استهدف 3CX نتيجة لتسوية سابقة لسلسلة التوريد مرتبطة بشركة مختلفة ، مما يدل على مستوى جديد من التطور مع الجهات الفاعلة في التهديد من كوريا الشمالية.
وقالت شركة Mandiant المملوكة لشركة Google ، والتي تتعقب حدث الهجوم تحت الاسم المستعار UNC4736 ، إن الحادث يمثل المرة الأولى التي يشهد فيها "هجوم على سلسلة إمداد برمجيات يؤدي إلى هجوم آخر على سلسلة إمداد برمجيات".
ظهر الهجوم المتتالي على طراز دمية Matryoshka ضد 3CX لأول مرة في 29 مارس 2023 ، عندما ظهر أن إصدارات Windows و macOS من برنامج الاتصال الخاص به تم تحويلها إلى حصان طروادة لتقديم عامل منجم بيانات يعتمد على C / C ++ يسمى ICONIC Stealer عن طريق برنامج التنزيل ، SUDDENICON ، الذي استخدم ملفات الرموز المستضافة على GitHub لاستخراج الخادم الذي يحتوي على السارق.
قالت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) في تحليل للبرامج الضارة: "يحاول التطبيق الخبيث بعد ذلك سرقة معلومات حساسة من متصفح الويب الخاص بالمستخدم الضحية" . "على وجه التحديد سيستهدف متصفحات Chrome أو Edge أو Brave أو Firefox."
استلزم تحديد الهجمات التي تستهدف شركات العملة المشفرة أيضًا نشر باب خلفي في المرحلة التالية يُشار إليه باسم Gopuram وهو قادر على تشغيل أوامر إضافية والتفاعل مع نظام ملفات الضحية.
كشف تحقيق Mandiant في تسلسل الأحداث الآن أن المريض صفر هو نسخة ضارة من برنامج تم إيقافه الآن قدمته شركة تكنولوجيا مالية تسمى Trading Technologies ، والتي تم تنزيلها بواسطة موظف 3CX على أجهزة الكمبيوتر الشخصية الخاصة بهم.
ووصف ناقل التطفل الأولي بأنه "حزمة برامج بها برامج ضارة يتم توزيعها عبر حل وسط سابق لسلسلة إمداد البرامج والذي بدأ بمثبت تم العبث به لـ X_TRADER."
احتوى هذا المثبت الخادع ، بدوره ، على برنامج ثنائي للإعداد أسقط اثنين من مكتبات الارتباط الديناميكية (DLLs) وملف تنفيذي غير ضار ، ويتم استخدام هذا الأخير لتحميل أحد مكتبات DLL التي تم تمويهها على أنها تبعية شرعية.
استفادت سلسلة الهجوم بعد ذلك من أدوات مفتوحة المصدر مثل SIGFLIP و DAVESHELL لاستخراج وتنفيذ VEILEDSIGNAL في النهاية ، وهو باب خلفي معياري متعدد المراحل مكتوب بلغة C قادر على إرسال البيانات وتنفيذ كود القشرة وإنهاء نفسه.
أدى الاختراق الأولي لجهاز الكمبيوتر الشخصي للموظف باستخدام VEILEDSIGNAL إلى تمكين ممثل التهديد من الحصول على بيانات اعتماد الشركة الخاصة بالفرد ، وبعد ذلك تم أول وصول غير مصرح به إلى شبكته عبر VPN من خلال الاستفادة من بيانات الاعتماد المسروقة.
إلى جانب تحديد أوجه التشابه التكتيكية بين تطبيقات X_TRADER و 3CXDesktopApp المخترقة ، وجد Mandiant أن ممثل التهديد انتقل لاحقًا إلى بيئة 3CX واخترق بيئات بناء Windows و macOS.
قال مانديانت: "في بيئة بناء Windows ، قام المهاجم بنشر TAXHAUL launcher و COLDCAT downloader الذي استمر بإجراء تحميل جانبي لـ DLL من خلال خدمة IKEEXT وتشغيله بامتيازات LocalSystem". "تم اختراق خادم بناء macOS مع باب خلفي POOLRAT باستخدام Launch Daemons كآلية دائمة."
POOLRAT ، المصنفة سابقًا من قبل شركة استخبارات التهديدات على أنها SIMPLESEA ، عبارة عن غرسة C / C ++ macOS قادرة على جمع معلومات النظام الأساسية وتنفيذ الأوامر التعسفية ، بما في ذلك تنفيذ عمليات الملفات.
يُشتبه في أن UNC4736 عبارة عن مجموعة تهديد لها علاقة بكوريا الشمالية ، وهو تقييم تم تعزيزه من خلال اكتشاف ESET لمجال القيادة والتحكم (C2) المتداخل (Journalide [.] org) المستخدم في هجوم سلسلة التوريد وتلك الخاصة بـ حملة مجموعة لازاروس تسمى عملية حلم العمل.
تُظهر الأدلة التي جمعتها Mandiant أن المجموعة تظهر قواسم مشتركة مع مجموعة تطفل أخرى تتبعها عملية AppleJeus ، والتي لها سجل حافل بتنفيذ هجمات ذات دوافع مالية.
علاوة على ذلك ، يُقال إن خرق موقع Trading Technologies على الويب قد حدث في أوائل فبراير 2022 من خلال تسليح عيب يوم الصفر في Google Chrome ( CVE-2022-0609 ) لتنشيط سلسلة عدوى متعددة المراحل مسؤولة عن تقديم خدمة غير معروفة الحمولات لزوار الموقع.
وأوضح مانديانت أن "موقع www.tradingtechnologies [.] com تم اختراقه واستضافته IFRAME مخفيًا لاستغلال الزوار ، وذلك قبل شهرين فقط من أن يُعرف الموقع بتقديم حزمة برامج X_TRADER ذات طروادة".
رابط آخر يربطها بـ AppleJeus هو الاستخدام السابق لممثل التهديد لإصدار قديم من POOLRAT كجزء من حملة طويلة الأمد لنشر تطبيقات التداول المفخخة مثل CoinGoTrade لتسهيل سرقة العملات المشفرة.
لا يزال النطاق الكامل للحملة غير معروف ، وليس من الواضح حاليًا ما إذا كان برنامج X_TRADER المخترق قد تم استخدامه من قبل شركات أخرى. يُزعم أنه تم إيقاف تشغيل النظام الأساسي في أبريل 2020 ، لكنه كان لا يزال متاحًا للتنزيل من الموقع في عام 2022.
قالت شركة 3CX ، في تحديث تمت مشاركته في 20 أبريل 2023 ، إنها تتخذ خطوات لتقوية أنظمتها وتقليل مخاطر هجمات سلسلة التوريد المتداخلة في البرامج في البرامج من خلال تعزيز أمان المنتج ، ودمج الأدوات لضمان تكامل برمجياتها ، و إنشاء قسم جديد لعمليات الشبكة والأمن.
قال مانديانت: "تُظهر تنازلات سلسلة توريد البرمجيات المتتالية أن المشغلين الكوريين الشماليين يمكنهم استغلال الوصول إلى الشبكة بطرق مبتكرة لتطوير وتوزيع البرامج الضارة ، والتنقل بين الشبكات المستهدفة أثناء إجراء عمليات تتماشى مع مصالح كوريا الشمالية".