كان فريق الدعم لـ 3CX ، مزود برامج VoIP / PBX مع أكثر من 600000 عميل و 12 مليون مستخدم يوميًا ، على دراية بأن تطبيق سطح المكتب الخاص به يتم تمييزه على أنه برنامج ضار ، لكنه قرر عدم اتخاذ أي إجراء لمدة أسبوع عندما علم أنه كان على يظهر موضوع في منتدى مجتمع الشركة بعد تلقيه هجومًا هائلًا على سلسلة التوريد.
“هل يرى أي شخص آخر هذه المشكلة مع موردي الصوت والفيديو الآخرين؟” سأل أحد عملاء الشركة في 22 آذار (مارس) ، في منشور بعنوان “تنبيهات التهديد من SentinelOne لتحديث سطح المكتب بدأ من عميل سطح المكتب.” كان العميل يشير إلى أحد منتجات الكشف عن البرامج الضارة لنقطة النهاية من شركة الأمن SentinelOne. تم تضمين بعض شكوك SentinelOne في المنشور: اكتشاف كود القشرة ، وحقن الكود في مساحة ذاكرة العملية الأخرى ، والعلامات التجارية الأخرى لاستغلال البرامج.
هل يرى أي شخص آخر هذه المشكلة مع موردي A / V الآخرين؟
الاستغلال اللاحق
تم اكتشاف إطار الاختراق أو كود القشرة
تهرب
تم تنفيذ أمر غير مباشر
إدخال الكود إلى مساحة ذاكرة العملية الأخرى أثناء تهيئة العملية المستهدفة
\ Device \ HarddiskVolume4 \ Users \ ** USERNAME ** \ AppData \ Local \ Programs \ 3CXDesktopApp \ 3CXDesktopApp.exe
SHA1 e272715737b51c01dc2bed0f0aee2bf6feef25f1أحصل أيضًا على نفس المشغل عند محاولة إعادة تنزيل التطبيق من عميل الويب (3CXDesktopApp-18.12.416.msi).
التخلف عن الثقة
قفز المستخدمون الآخرون بسرعة للإبلاغ عن تلقي نفس التحذيرات من برنامج SentinelOne الخاص بهم. أبلغوا جميعًا عن تلقي التحذير أثناء تشغيل 18.0 Update 7 (Build 312) من 3CXDesktopApp لنظام التشغيل Windows. سرعان ما قرر المستخدمون أن الاكتشاف كان نتيجة إيجابية خاطئة ناتجة عن خلل في منتج SentinelOne. قاموا بإنشاء استثناء للسماح بتشغيل التطبيق المشبوه دون تدخل. في يوم الجمعة ، بعد يوم واحد ، ومرة أخرى في يومي الاثنين والثلاثاء التاليين ، أبلغ المزيد من المستخدمين عن تلقي تحذير SentinelOne.
في واحدة من المساهمات الأكثر بصيرة ، كتب أحد المستخدمين يوم الثلاثاء: “لقد قمنا بتنفيذ نفس” الإصلاحات “كما هو موضح هنا ، ولكن الرد من 3CX و / أو SentinelOne سيكون مفيدًا حقًا لأنني لا أحب التخلف عن الثقة في المشهد الأمني الحالي لهجمات سلسلة التوريد “.
بعد بضع دقائق ، انضم أحد أعضاء فريق دعم 3CX إلى المناقشة لأول مرة ، وأوصى العملاء بالاتصال بـ SentinelOne نظرًا لأن برنامج الشركة هو الذي أطلق التحذير. رد عميل آخر على ذلك ، فكتب:
هممم … كلما زاد عدد الأشخاص الذين يستخدمون كل من 3CX و SentinelOne يواجهون نفس المشكلة. ألن يكون لطيفًا إذا كنت من 3CX ستتواصل مع SentinelOne وتكتشف ما إذا كانت هذه نتيجة إيجابية خاطئة أم لا؟ – من مزود إلى مزود – لذلك في النهاية ، ستعرف أنت والمجتمع ما إذا كان لا يزال محفوظًا وسليمًا؟
رد مندوب دعم 3CX:
على الرغم من أن هذا قد يبدو مثالياً ، إلا أن هناك المئات إن لم يكن الآلاف من حلول AV المتاحة ولا يمكننا دائمًا الوصول إليهم عند حدوث أي حدث. نحن نستخدم إطار عمل Electron لتطبيقنا ، فربما يحظرون البعض إذا كانت وظائفه؟
كما تفهم على الأرجح ، ليس لدينا أي سيطرة على برامجهم والقرارات التي يتخذها ، لذا فليس مكاننا بالضبط للتعليق عليها. أعتقد أنه في هذه الحالة على الأقل ، سيكون من المنطقي أن يقوم عملاء Sentinel One بالاتصال بمزود برنامج الأمان الخاص بهم ومعرفة سبب حدوث ذلك. لا تتردد في نشر نتائجك هنا إذا تلقيت ردًا.
مرت 24 ساعة أخرى قبل أن يعلم العالم أن Sentinel One كان على حق وأن الأشخاص الذين يشتبهون في أن النتيجة الإيجابية الكاذبة كانت على خطأ.
كما ورد سابقًا ، قامت مجموعة تهديد مرتبطة بحكومة كوريا الشمالية بخرق نظام إنشاء برامج 3CX واستخدمت التحكم لدفع إصدارات Trojanized من برامج DesktopApp للشركة لنظامي التشغيل Windows و macOS. تتسبب البرامج الضارة في إرسال الأجهزة المصابة إلى الخوادم التي يتحكم فيها الممثل ، وبناءً على معايير غير معروفة ، يتم نشر حمولات المرحلة الثانية على أهداف محددة. في حالات قليلة ، نفذ المهاجمون “نشاطًا عمليًا على لوحة المفاتيح” على الأجهزة المصابة ، مما يعني أن المهاجمين نفذوا الأوامر يدويًا عليها.
يجب أن يكون الانهيار الذي يتضمن الاكتشاف الذي تم تجاهله بواسطة 3CX ومستخدميه بمثابة قصة تحذيرية لكل من فرق الدعم والمستخدمين النهائيين ، نظرًا لأنهم عادةً ما يكونون أول من يواجه نشاطًا مشبوهًا. لم يرد ممثلو شركة 3CX على رسالة تطلب التعليق على هذه القصة.
