3CX a dit que c’était travailler sur une mise à jour logicielle pour son application de bureau après que plusieurs fournisseurs de cybersécurité ont tiré la sonnette d’alarme sur ce qui semble être une attaque active de la chaîne d’approvisionnement qui utilise des installateurs signés numériquement et truqués du logiciel de conférence vocale et vidéo populaire pour cibler les clients en aval.
“L’application de bureau 3CX trojanisée est la première étape d’une chaîne d’attaque en plusieurs étapes qui extrait les fichiers ICO ajoutés aux données Base64 de GitHub et conduit finalement à une DLL d’infostealer de troisième étape”, ont déclaré les chercheurs de SentinelOne. a dit.
L’entreprise de cybersécurité suit l’activité sous le nom LisseOpérateurindiquant que l’acteur de la menace a enregistré une infrastructure d’attaque massive dès février 2022. Il y a des indications que l’attaque pourrait avoir commencé vers le 22 mars 2023.
3CX, la société derrière 3CXDesktopApp, réclamations avoir plus de 600 000 clients et 12 millions d’utilisateurs dans 190 pays, dont certains incluent des noms bien connus comme American Express, BMW, Honda, Ikea, Pepsi et Toyota, entre autres.
Alors que le client PBX 3CX est disponible pour plusieurs plateformes, données de télémétrie montre que les attaques observées jusqu’à présent se limitent au client Windows Electron (versions 18.12.407 et 18.12.416) et aux versions macOS du système téléphonique PBX.
La chaîne d’infection, en un mot, profite de la Technique de chargement latéral de DLL pour charger une DLL malveillante (ffmpeg.dll) conçue pour récupérer une charge utile de fichier icône (ICO). Le référentiel GitHub héberger le fichier a depuis été démonté.
La charge utile finale est un voleur d’informations capable de collecter des informations système et des données sensibles stockées dans les navigateurs Google Chrome, Microsoft Edge, Brave et Mozilla Firefox.
Le Exemple macOS (un fichier de 381 Mo), selon chercheur en sécurité Patrick Wardleporte une signature valide et est notarié par Apple, ce qui signifie qu’il peut être exécuté sans que le système d’exploitation ne le bloque.
L’application malveillante, similaire à son homologue Windows, inclut un binaire Mach-O nommé libffmpeg.dylib qui est conçu pour atteindre un serveur externe “pbxsources[.]com” pour télécharger et exécuter un fichier nommé UpdateAgent. Le serveur est actuellement hors ligne.
Chasseresse signalé qu’il existe 242 519 systèmes de gestion téléphonique 3CX exposés publiquement. Symantec, propriété de Broadcom, dans son propre avis, a dit “Les informations recueillies par ce logiciel malveillant ont vraisemblablement permis aux attaquants d’évaluer si la victime était candidate à un compromis supplémentaire.”
Devenez un pro de la réponse aux incidents !
Découvrez les secrets d’une réponse aux incidents à toute épreuve – Maîtrisez le processus en 6 phases avec Asaf Perlman, le responsable IR de Cynet !
“En raison de son utilisation généralisée et de son importance dans le système de communication d’une organisation, les pirates peuvent causer des dommages importants (par exemple, en surveillant ou en redirigeant les communications internes et externes) aux entreprises qui utilisent ce logiciel”, a déclaré Trend Micro. a dit.
Entreprise de cybersécurité CrowdStrike a dit il attribue l’attaque avec une grande confiance à un acteur de l’État-nation nord-coréen qu’il suit sous le nom de Labyrinth Chollima (alias Nickel Academy), un sous-groupe au sein du célèbre groupe Lazarus.
“L’activité malveillante comprend le balisage vers une infrastructure contrôlée par des acteurs, le déploiement de charges utiles de deuxième étape et, dans un petit nombre de cas, une activité manuelle sur le clavier”, a déclaré CrowdStrike. ajoutée.
Dans un message sur le forum, le PDG de 3CX, Nick Galea, a déclaré qu’il était en train de publier une nouvelle version au cours des prochaines heures, et a noté que Les versions Android et iOS ne sont pas impactées. “Malheureusement, cela s’est produit parce qu’une bibliothèque en amont que nous utilisons a été infectée”, Galea a ditsans donner plus de détails.
Comme solution de contournement, l’entreprise est exhortant ses clients de désinstaller l’application et de la réinstaller, ou bien d’utiliser le client PWA.
3CX, dans un mise à jour de suivia déclaré que “le problème semble être l’une des bibliothèques groupées que nous avons compilées dans l’application Windows Electron via git” et qu’il étudie davantage la question.
(Ceci est une histoire en développement et a été mis à jour avec de nouvelles informations sur la chaîne d’infection macOS.)