RÉSUMÉ ANALYTIQUE:
Mercredi, des analystes du renseignement sur les menaces de cybersécurité ont découvert une attaque de la chaîne d'approvisionnement ciblant le fournisseur de logiciels de communication 3CX et les clients de l'entreprise. 3CX est une société de développement de logiciels VoIP IPBX dont le système téléphonique 3CX est utilisé par plus de 600,000 des entreprises du monde entier, avec 12 millions d'utilisateurs quotidiens.
La liste des clients de l'entreprise comprend des organisations des secteurs de l'automobile, de l'alimentation et des boissons, de l'hôtellerie, de la fabrication et des fournisseurs de services de technologies de l'information gérées (MSP). Les clients ont été informés et encouragés à commencer immédiatement à rechercher des signes de compromission.
Les tactiques des attaquants semblent similaires à celles utilisées contre Vents solaires l'année dernière. En ce qui concerne l'attaque 3CX, “Il s'agit d'une attaque classique de la chaîne d'approvisionnement, conçue pour exploiter les relations de confiance entre une organisation et des parties externes; cela inclut des partenariats avec des fournisseurs ou l'utilisation d'un logiciel tiers dont la plupart des entreprises dépendent d'une manière ou d'une autre”, a déclaré Lotem Finkelstein, directeur des renseignements sur les menaces et de la recherche chez Check Point.
“Cet incident nous rappelle à quel point il est essentiel que nous fassions preuve de diligence raisonnable en examinant avec qui nous faisons affaire”, a-t-il poursuivi.
Les chercheurs ont initialement observé un pic de détections comportementales de la 3CXDesktopApp, prevenempêcher les installateurs de chevaux de Troie de s'exécuter et de mener à une exécution immédiate quarantaine par défaut.
Le cheval de Troie 3CXDesktopApp est la première étape d'une chaîne d'attaque à plusieurs étapes qui extrait les fichiers ICO ajoutés avec des données base64 de GitHub, conduisant finalement à une DLL infostealer de troisième étape…
“L'activité malveillante comprend le balisage vers une infrastructure contrôlée par un acteur, le déploiement de charges utiles de deuxième étape et, dans un petit nombre de cas, une activité pratique sur le clavier", a rapporté une équipe de chercheurs en sécurité.
Les alertes des chercheurs en sécurité indiquent que les attaquants ciblent à la fois les utilisateurs Windows et macOS de l'application 3CX compromise.
L'application affectée est un outil métier conçu pour garder les équipes connectées sans les attacher à l'environnement de bureau. Il est couramment utilisé par la main-d'œuvre hybride ou à distance pour les appels d'équipe et de client. L'application peut enregistrer des communications, faciliter la vidéoconférence, activer la vérification de la messagerie vocale et plus encore.
Pour le moment, les chercheurs pensent qu'un groupe de piratage soutenu par l'État nord-coréen connu sous le nom de Labyrinth Collima pourrait être à l'origine de l'attaque, bien que cette attribution ne puisse être vérifiée.
L'attaque de la chaîne d'approvisionnement repose sur ce que l'on appelle le chargement latéral des DLL. Cela signifie que les attaquants ont utilisé un exécutable signé (package MSI) pour charger une DLL malveillante appelée ffmpeg.DLL. Cette DLL a été modifiée pour lire les données chiffrées d'une autre DLL appelée d3dcomplier_47.DLL.
Les attaquants ont stocké une liste codée d'URL sur une archive GitHub spécifique. Une fois le d3dcomplier_47.dll extrait la liste, elle l'utilise pour télécharger et exécuter la charge utile finale à partir de l'une des URL.
Le point important concernant la communication avec GitHub est que le délai d'une semaine est défini dans le code avant que la demande à GitHub ne soit faite. Une fois cette étape terminée, la charge utile finale est téléchargée à partir de l'une des URL et exécutée…
Dès que la version cheval de Troie de la 3CXDesktopApp a été signalée, toutes les protections pertinentes ont été propagées à travers tous les produits de Check Point. Si vous êtes un client 3CX et également un client Check Point, vous êtes protégé (sans correction nécessaire).
Pour plus d'informations techniques, veuillez consulter ceci Le blog de Point de contrôle. Vous voulez vous tenir au courant des tendances technologiques? Découvrez le CyberTalk.org infolettre! Inscrivez-vous dès aujourd'hui pour recevoir des articles de presse, des meilleures pratiques et des analyses d'experts de premier ordre; livrés directement dans votre boîte de réception.
Post Une attaque malveillante de la chaîne d'approvisionnement frappe l'application de bureau 3CX apparu en premier sur CyberTalk.