Posté le mars 28, 2023 à 6:29
LES CLIENTS DE 3CX EN DANGER APRÈS QU’UNE RÉCENTE ATTAQUE DE LA CHAÎNE D’APPROVISIONNEMENT A COMPROMIS L’APPLICATION DE BUREAU DE L’ENTREPRISE
Selon des rapports récents, 3CX a récemment fait l’objet d’une attaque de la chaîne d’approvisionnement, qui est en fait toujours en cours. Cependant, les attaquants ont également créé une version signée numériquement et trojanisée de l’application de bureau VOIP (Voice Over Internet Protocol) de l’entreprise, qui est maintenant utilisée contre les clients de l’entreprise.
3CX est une société de développement de logiciels VOIP IPBX bien connue. Elle a développé le système téléphonique 3CX, qui est actuellement utilisé par plus de 600 000 entreprises dans le monde. Le système revendique aussi plus de 12 millions d’utilisateurs quotidiens.
Comme indiqué, la société compte des centaines de milliers d’autres entreprises parmi ses utilisateurs, dont BMW, Coca-Cola, Toyota, American Express, IKEA, McDonald’s, Honda, Mercedes-Benz, AirFrance, HollidayInn, et bien d’autres. Cela a conduit certaines grandes entreprises de sécurité à se pencher sur l’attaque, notamment CrowdStrike et Sophos.
Après avoir examiné la situation, CrowdStrike a déclaré que l’activité malveillante comprend le balisage d’infrastructures contrôlées par des acteurs, suivi du déploiement de charges utiles de deuxième niveau. Dans certains cas, il y a même une activité de manipulation du clavier, bien qu’il ne s’agisse que d’un petit nombre de cas. L’équipe de Sophos a également commenté en notant que l’activité post-exploitation la plus courante observée à ce jour est la création d’un shell de commande interactif.
CrowdStrike pense que l’attaquant pourrait être Labyrinth Collima, un groupe de hackers soutenu par l’État et opérant à partir de la Corée du Nord. Cependant, les chercheurs de Sophos ont déclaré qu’ils ne pouvaient pas confirmer cette conclusion avec un haut degré de confiance. Jusqu’à présent, les activités de Labyrinth Collima se sont chevauchées avec celles d’autres groupes de hackers bien connus, tels que Lazarus Group, Covellite, UNC4034, Nickel Academy et Zinc.
Chacun de ces groupes est suivi par de grandes entreprises de sécurité, et CrowdStrike lui-même a déclaré qu’il disposait d’un processus d’analyse approfondi en ce qui concerne les conventions de dénomination des adversaires. Cela dit, Labyrint Chollima est un sous-ensemble du Lazarus Group. Cependant, il comprend également d’autres adversaires liés à la RPDC, tels que Stardust Chollima et Silent Chollima.
Selon les rapports de Sophos et de SentinelOne, une application de bureau 3CX trojanisée est téléchargée dans le cadre d’une attaque de la chaîne d’approvisionnement. L’attaque a été baptisée SmoothOperator et commence par le programme d’installation MSI qui est téléchargé à partir du site web de 3CX ou, si le client a déjà installé l’application, une nouvelle mise à jour peut également conduire au lancement de l’attaque.
Une fois que MSI est installé sur l’appareil, il extrait les fichiers malveillants, qui mènent alors la deuxième étape de l’attaque. Selon Sophos, le fichier 3CXDesktopApp.exe lui-même n’est pas malveillant. Cependant, il est suivi par d’autres fichiers malveillants, dont ffmpeg.dll et d3dcompiler_47.dll, qui font l’objet d’un chargement latéral. Ils extraient ensuite une charge utile chiffrée de d2dcompiler_47 et l’exécutent, ce qui conduit à la troisième étape.
À ce stade, le logiciel malveillant télécharge des fichiers d’icônes hébergés sur GitHub, qui contiennent des chaînes codées en Base64. Ce dépôt est également l’endroit où les icônes sont stockées, et il montre que la première icône a été téléchargée le 7 décembre de l’année dernière.
Le logiciel malveillant de première étape utilise des chaînes Base64 pour télécharger la charge utile finale, qui est un logiciel malveillant voleur d’informations qui n’avait jamais été vu avant cette attaque. Il est également téléchargé sous la forme d’une DLL et il est capable de récolter des données système et de voler des informations d’identification à partir de navigateurs web. Il fonctionne contre Chrome, Firefox, Edge et même Brave, le navigateur respectueux de la vie privée fonctionnant avec un portefeuille de cryptomonnaie.
SentinelOne a déclaré que son équipe ne peut toujours pas confirmer que l’installateur Mac est également trojanisé, mais leur enquête inclut des applications supplémentaires, telles que l’extension Chrome, qui pourraient également être utilisées à mauvais escient par les hackers pour organiser des attaques.
CrowdStrike a noté que l’application trojanisée se connectait à l’un des nombreux domaines contrôlés par l’attaquant. Certains clients ont signalé quelques domaines auxquels ils ont vu le logiciel se connecter, notamment azureonlinestorage[.]com, msstorageboxes[.]com et msstorageazure[.]com.
Un certain nombre d’autres clients ont déclaré avoir reçu des alertes une semaine plus tôt, le 22 mars. Ces alertes indiquaient que l’application était considérée comme malveillante par un certain nombre de sociétés de sécurité.