Le fournisseur de services de communication d’entreprise 3CX a confirmé que l’attaque de la chaîne d’approvisionnement ciblant son application de bureau pour Windows et macOS était l’œuvre d’un acteur menaçant avec un lien nord-coréen.
Les conclusions sont le résultat d’une évaluation intermédiaire menée par Mandiant, propriété de Google, dont les services ont été enrôlés après que l’intrusion a été révélée à la fin du mois dernier. L’unité de renseignement sur les menaces et de réponse aux incidents suit l’activité sous son surnom non catégorisé UNC4736.
Il convient de noter que la société de cybersécurité CrowdStrike a attribué l’attaque à un sous-groupe de Lazarus surnommé Labyrinth Chollima, citant des chevauchements tactiques.
La chaîne d’attaque, basée sur des analyses de plusieurs fournisseurs de sécurité, impliquait l’utilisation de techniques de chargement latéral de DLL pour charger un voleur d’informations appelé ICONIC Stealer, suivie d’une deuxième étape appelée Gopuram dans des attaques sélectives visant les sociétés de cryptographie.
L’enquête médico-légale de Mandiant a maintenant révélé que les acteurs de la menace ont infecté les systèmes 3CX avec un malware nommé TAXHAUL qui est conçu pour déchiffrer et charger un shellcode contenant un « téléchargeur complexe » étiqueté COLDCAT.
« Sous Windows, l’attaquant a utilisé le chargement latéral de DLL pour obtenir la persistance du malware TAXHAUL, » 3CX a dit. « Le mécanisme de persistance garantit également que le logiciel malveillant de l’attaquant est chargé au démarrage du système, ce qui permet à l’attaquant de conserver un accès à distance au système infecté via Internet. »
La société a en outre déclaré que la DLL malveillante (wlbsctrl.dll) était chargé par les modules de clé Windows IKE et AuthIP IPsec (IKEEXT) service via svchost.exeun processus système légitime.
Les systèmes macOS ciblés dans l’attaque auraient fait l’objet d’une porte dérobée à l’aide d’une autre souche de malware appelée SIMPLESEA, un malware basé sur C qui communique via HTTP pour exécuter des commandes shell, transférer des fichiers et mettre à jour des configurations.
Il a été observé que les souches de logiciels malveillants détectées dans l’environnement 3CX contactent au moins quatre serveurs de commande et de contrôle (C2) : azureonlinecloud[.]com, akamaicontainer[.]com, journalide[.]org et msboxonline[.]com.
Apprenez à sécuriser le périmètre d’identité – Stratégies éprouvées
Améliorez la sécurité de votre entreprise grâce à notre prochain webinaire sur la cybersécurité dirigé par des experts : Explorez les stratégies de périmètre d’identité !
Nick Galea, PDG de 3CX, dans un message de forum la semaine dernière, a déclaré que la société n’était au courant que d’une » poignée de cas » où le logiciel malveillant a été effectivement activé et qu’elle s’efforçait de » renforcer nos politiques, nos pratiques et notre technologie pour nous protéger contre de futures attaques « . Un mis à jour application a depuis été mis à la disposition des clients.
Il n’est actuellement pas déterminé comment les acteurs de la menace ont réussi à s’introduire dans le réseau de 3CX, et si cela a entraîné la militarisation d’une vulnérabilité connue ou inconnue. La compromission de la chaîne d’approvisionnement est suivie sous l’identifiant CVE-2023-29059 (Note CVSS : 7,8).