استخبارات الخصم

من المحتمل أن يؤثر تطبيق Trojanized 3CX لسطح المكتب النشط المستمر على 600 ألف مستخدم على مستوى العالم

في 29 مارس 2023، كانت هناك تقارير عن نشاط ضار نشأ من تطبيق 3CX لسطح المكتب موقّع. زعمت شركة Falcon Overwatch من CrowdStrike أنها لاحظت أنشطة ضارة من كل من ثنائيات Windows و macOS.

April 3, 2023

دقيقة

جدول المحتوى

مثال H2

ملخص تنفيذي

في 29 مارس 2023، كانت هناك تقارير عن نشاط ضار نشأ من تطبيق 3CX لسطح المكتب موقّع. زعمت شركة Falcon Overwatch من CrowdStrike أنها لاحظت أنشطة ضارة من كل من ثنائيات Windows و macOS.‍

حول تطبيق 3CX لسطح المكتب

المنتج عبارة عن تطبيق هاتف ذكي يسمح لك بإجراء واستقبال المكالمات على سطح المكتب الفعلي. التطبيق متاح حاليًا لجميع أنظمة التشغيل الرئيسية بما في ذلك Windows و Linux و macOS. تدعي 3CX أن لديها أكثر من 600,000 عميل على مستوى العالم، وبالتالي يمكن أن يكون لهذه الحملة آثار مدمرة.

الإصدارات المتأثرة المعروفة حاليًا من تطبيق Electron هي:

V18.12.407
v18.12.416

‍

ملاحظات من السلوك الضار

يقوم الملف الثنائي الموقّع بالاتصال بالبنية التحتية التي يتحكم فيها المهاجم وينشر حمولة المرحلة الثانية للضحية. هناك أيضًا حالات لوحظ فيها نشاط استخدام اليدين على لوحة المفاتيح، وهي طريقة لإبقاء ممثل التهديد البشري على اطلاع دائم لتجنب الدفاعات والتحرك رأسيًا أو أفقيًا في البنية التحتية.
حدد SentinelOne الحالات التي يوجد فيها تورط لـ DLL لسارق المعلومات من المرحلة الثالثة تم سحبه من مستودع GitHub (في وقت كتابة هذا التقرير، تمت إزالة المستودع).
هناك أيضًا ادعاءات بأن هذا الهجوم يشمل الفاعل الذي يمثل تهديدًا من الدولة القومية، LABYRINTH Chollima/Zinc/Lazarus/Black Artemis، متورط في هذا الهجوم المتطور لسلسلة التوريد.

‍

الخط الزمني

‍

تحليل التهديدات

وفقًا للأدلة المعروفة، يمكننا أن نفترض أن الاستغلال النشط لتطبيق الإلكترون التروجاني بدأ بعد 3 مارس 2023. كان المستودع المستخدم لاستضافة الحمولة متعددة المراحل قيد الاستخدام منذ 8 ديسمبر 2022. تم وضع علامة على التنبيهات كإيجابيات كاذبة وطلب فريق الدعم من 3CX من المستخدمين إزالة حلول EDR كحل.

تم تحديد العناصر التالية كمكونات رئيسية للبرنامج الثنائي الضار:

3CXDesktopApp.exe، أداة التحميل النظيفة
d3dcompiler_47.dll، ملف DLL مع حمولة مشفرة ملحقة
ffmpeg.dll، أداة التحميل الخبيثة المجنزة

‍

يحتوي الملف ffmpeg.dll على عنوان URL مضمن يقوم باسترداد ترميز ضار .ico حمولة. يحتوي ملف ICO على حمولة Base64 في النهاية. يتم استخدام هذه البيانات بعد فك التشفير لتنزيل مرحلة أخرى في بعض الحالات. يبدو أن ملف DLL الذي تم تنزيله هو سارق معلومات غير معروف يهدف إلى الواجهة واستخراج بيانات المتصفح المحفوظة.

‍

كشف

في وقت كتابة هذا، يمكن استخدام بعض قواعد YARA لصيد التهديدات. جميع قواعد YARA الأخرى مذكورة في قسم المراجع.

‍

*إحدى القواعد التي يمكن استخدامها لتحديد الثنائيات الضارة* *تأليف فلوريان روث*

‍

بالنسبة لمستخدمي SentinelOne و Crowdstrike و Sophos MDR/EDR، هناك استعلامات محددة لنظام التشغيل مذكورة في إرشاداتهم (المذكورة في قسم المراجع).

‍

مؤشرات التسوية

‍

Domain Name	Registered Date	Registrar
akamaicontainer[.]com	14/02/2023	Namecheap
akamaitechcloudservices[.]com	04/01/2023	Namecheap
azuredeploystore[.]com	13/03/2023	Namesilo
azureonlinecloud[.]com	13/02/2023	Namecheap
azureonlinestorage[.]com	05/01/2023	PublicDomainRegistry
msedgepackageinfo[.]com	05/01/2023	Namesilo
msstorageazure[.]com	17/11/2022	Namecheap
msstorageboxes[.]com	09/12/2022	Namecheap
officeaddons[.]com	09/12/2022	PublicDomainRegistry
officestoragebox[.]com	17/11/2022	Namecheap
dunamistrd[.]com	06/12/2022	Namecheap
pbxcloudeservices[.]com	23/12/2022	PublicDomainRegistry
glcloudservice[.]com	06/01/2023	Namecheap
pbxphonenetwork[.]com	25/12/2022	Namesilo
qwepoi123098[.]com	17/11/2022	Namecheap
zacharryblogs[.]com	13/12/2022	Namecheap
sbmsa[.]wiki	09/02/2023	Namecheap
pbxsources[.]com	04/01/2023	Namecheap
sourceslabs[.]com	09/12/2022	eNom, LLC
visualstudiofactory[.]com	17/11/2022	Namecheap
journalide[.]org	08/04/2022	Namecheap

‍

تم حظر جميع النطاقات المذكورة أعلاه اعتبارًا من 30 مارس 2023. يمكننا أيضًا ملاحظة أن هذه المجالات قد تم تسجيلها مؤخرًا. Namecheap هو ممثل التهديد المفضل بسبب خيارات دفع BTC المقدمة. من بين المجالات المذكورة أعلاه، تمكنا من العثور على بعض رسائل البريد الإلكتروني المثيرة للاهتمام في معلومات WHOIS.

‍

Email	Full Name
cliego.garcia@proton.me	Diego Garcia
Remey.Simpson@outlook.com	Simpson Remey
jackiewcaudill@gmail.com	Jackie Caudill
haroldjmarable@gmail.com	Harold Marable

‍

المستودع الذي يستضيف البرامج الضارة لسرقة المعلومات منذ 8 ديسمبر

جيثب [.] كوم/iconStorages/الصور

‍

FileName	SHA-256
IconStorages.zip	5c54932fdbb077d73c58ac41a1ad3f6ea5576b3e1f719c8b714b637c9ceb361b
3CXDesktopApp.exe	a60a61bf844bc181d4540c9fac53203250a982e7c3ad6153869f01e19cc36203
3CXDesktopApp.exe	5d99efa36f34aa6b43cd81e77544961c5c8d692c96059fef92c2df2624550734
3CXDesktopApp.exe	54004dfaa48ca5fa91e3304fb99559a2395301c570026450882d6aad89132a02
3CXDesktopApp.exe	d45674f941be3cca2fbc1af42778043cc18cd86d95a2ecb9e6f0e212ed4c74ae
3CXDesktopApp.msi	aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868
3CXDesktopApp.msi	59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983
3CXDesktopApp (macOS Application)	92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61
3CXDesktopApp (macOS Application)	b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb
3CXDesktopApp (macOS DMG Application)	5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290
3CXDesktopApp (macOS DMG Application)	e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec

التوصيات

تحقق من IOCs المذكورة أعلاه للحصول على الإصدار الثلاثي من التطبيق
التوصية الرسمية هي استخدام تطبيق WebApp/PWA وليس تطبيق الإلكترون في الوقت الحالي. يمكن العثور على التعليمات هنا.
راقب الحملة المتغيرة

‍