Le fabricant de logiciels de communication d’entreprise 3CX a confirmé jeudi que plusieurs versions de son application de bureau pour Windows et macOS sont affectées par une attaque de la chaîne d’approvisionnement.
Les numéros de version incluent 18.12.407 et 18.12.416 pour Windows et 18.11.1213, 18.12.402, 18.12.407 et 18.12.416 pour macOS. Le problème a reçu l’identifiant CVE CVE-2023-29059.
La société a déclaré qu’elle engageait les services de Mandiant, propriété de Google, pour examiner l’incident. Dans l’intervalle, il exhorte ses clients des versions auto-hébergées et sur site du logiciel à mettre à jour vers la version 18.12.422.
« Les utilisateurs de 3CX Hosted et StartUP n’ont pas besoin de mettre à jour leurs serveurs car nous les mettrons à jour automatiquement dans la nuit », a déclaré Nick Galea, PDG de 3CX. a dit dans un article de blog. « Les serveurs seront redémarrés et la nouvelle application Electron MSI/DMG sera installée sur le serveur. »
Les preuves disponibles à ce jour indiquent soit une compromission du pipeline de build logiciel de 3CX pour distribuer les versions Windows et macOS du package de l’application, soit l’empoisonnement d’une dépendance en amont. L’ampleur de l’attaque est actuellement inconnue.
Données de télémétrie partagé par Fortinet montre que la répartition géographique des machines victimes appelant une infrastructure contrôlée par des acteurs connus s’étend principalement sur l’Italie, l’Allemagne, l’Autriche, les États-Unis, l’Afrique du Sud, l’Australie, la Suisse, les Pays-Bas, le Canada et le Royaume-Uni
La première période d’activité potentiellement malveillante aurait été détectée le ou vers le 22 mars 2023, selon un poster sur le forum 3CXbien que les préparatifs de la campagne sophistiquée aient commencé au plus tard en février 2022.
3CX a dit le alerte initiale signaler un problème de sécurité potentiel dans son application la semaine dernière a été traité comme un « faux positif » car aucun des moteurs antivirus de VirusTotal ne l’a qualifié de suspect ou de logiciel malveillant.
Le Version Windows de l’attaque a exploité une technique appelée chargement latéral de DLL pour charger une bibliothèque malveillante appelée « ffmpeg.dll » conçue pour lire le shellcode crypté à partir d’une autre DLL appelée « d3dcompiler_47.dll ».
 |
| SUDDENICON télécharge un nouvel exécutable |
Cela impliquait d’accéder à un référentiel GitHub pour récupérer un fichier ICO contenant des URL hébergeant la charge utile de l’étape finale, un voleur d’informations (surnommé Voleur ICONIQUE ou SUDDENICÔNE) capable de récolter des informations système et des données sensibles stockées dans des navigateurs Web.
Fournisseur britannique de cybersécurité Sophos souligné que le shellcode utilisé dans l’attaque est une « correspondance octet par octet » avec des échantillons antérieurs observés lors d’incidents exclusivement attribués au groupe Lazarus.
« Le choix de ces deux DLL – ffmpeg et d3dcompiler_47 – par les acteurs de la menace à l’origine de cette attaque n’était pas un hasard », a déclaré Karlo Zanki, chercheur en sécurité chez ReversingLabs. a dit.
« La cible en question, 3CXDesktopApp, est construite sur le framework open source Electron. Les deux bibliothèques en question sont généralement livrées avec le runtime Electron et, par conséquent, il est peu probable qu’elles éveillent les soupçons au sein des environnements clients. »
La chaîne d’attaque macOS, dans le même esprit, a contourné les contrôles de notarisation d’Apple pour télécharger une charge utile inconnue à partir d’un serveur de commande et de contrôle (C2) qui ne répond actuellement pas.
« La version macOS n’utilise pas GitHub pour récupérer son serveur C2, » Volexity a dit, qui suit l’activité sous le cluster UTA0040. « Au lieu de cela, une liste de serveurs C2 est stockée dans le fichier encodé avec une clé XOR à un seul octet, 0x7A. »
Devenez un pro de la réponse aux incidents !
Découvrez les secrets d’une réponse aux incidents à toute épreuve – Maîtrisez le processus en 6 phases avec Asaf Perlman, le responsable IR de Cynet !
La société de cybersécurité CrowdStrike, dans un avis qui lui est propre, a attribué l’attaque avec une grande confiance à Labyrinth Chollima (alias Académie du nickel), un acteur parrainé par l’État aligné sur la Corée du Nord.
« L’activité, qui cible de nombreuses organisations dans un large éventail de secteurs verticaux sans aucun schéma évident, a été attribuée à Labyrinth Chollima sur la base d’une infrastructure réseau observée uniquement associée à cet adversaire, de techniques d’installation similaires et d’une clé RC4 réutilisée », Adam Meyers, vice-président senior du renseignement chez CrowdStrike, a déclaré à The Hacker News.
« Les applications trojanisées 3CX invoquent une variante d’ArcfeedLoader, un malware attribué uniquement à Labyrinth Chollima. »
Labyrinth Chollima, selon la société basée au Texas, est un sous-ensemble du groupe Lazarus, qui constitue également Silent Chollima (alias Andariel ou Nickel Hyatt) et Stardust Chollima (alias BlueNoroff ou Nickel Gladstone).
L’acteur menaçant « est actif depuis au moins 2009 et essaie généralement de générer des revenus en ciblant les organisations cryptographiques et financières », a déclaré Meyers, ajoutant qu’il est « probablement affilié au Bureau 121 du Bureau général de reconnaissance de la RPDC (RVB) et mène principalement des opérations d’espionnage et des programmes de génération de revenus. »
Google Chrome bloque le dernier installateur 3CX MSI
3CX, dans un mise à jour partagé vendredi, a déclaré que Google interdisait les téléchargements des fichiers d’installation MSI via son navigateur Web Chrome. Il a également noté que les moteurs antivirus de plusieurs sociétés bloquent tout logiciel signé avec l’ancien certificat de sécurité.
Les programmes d’installation MSI suivants ont été bloqués : SBC pour Windows, l’application de bureau Windows et Call Flow Designer. Cependant, il y a des indications que la restriction a peut-être été levée car certains clients rapport pouvoir télécharger la dernière version (18.12.422) via Chrome.
En réponse, la société a déclaré qu’elle créait de nouveaux installateurs MSI avec un nouveau certificat et un nouveau serveur de construction, un processus qui devrait prendre au moins huit heures. Il encourage en outre ses clients à utiliser la version de l’application Web (PWA) à la place.