L’attaque de la chaîne d’approvisionnement ciblant 3CX était le résultat d’une compromission antérieure de la chaîne d’approvisionnement associée à une autre société, démontrant un nouveau niveau de sophistication avec les acteurs de la menace nord-coréens.
Mandiant, propriété de Google, qui suit l’événement d’attaque sous le surnom UNC4736, a dit l’incident marque la première fois qu’il a vu une « attaque de la chaîne d’approvisionnement logicielle conduire à une autre attaque de la chaîne d’approvisionnement logicielle ».
L’attaque en cascade de style poupée Matryoshka contre 3CX a été révélée pour la première fois le 29 mars 2023, lorsqu’il est apparu que les versions Windows et macOS de son logiciel de communication avaient été trojanisées pour fournir un mineur de données basé sur C/C++ nommé ICONIC Stealer au moyen d’un téléchargeur, SUDDENICON, qui utilisait des fichiers d’icônes hébergés sur GitHub pour extraire le serveur contenant le voleur.
« L’application malveillante tente ensuite de voler des informations sensibles du navigateur Web de l’utilisateur victime », a déclaré l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA). a dit dans une analyse du logiciel malveillant. « Plus précisément, il ciblera les navigateurs Chrome, Edge, Brave ou Firefox. »
Certaines attaques ciblant les sociétés de crypto-monnaie impliquaient également le déploiement d’une porte dérobée appelée Gopuram, capable d’exécuter des commandes supplémentaires et d’interagir avec le système de fichiers de la victime.
Mandiant enquête dans la séquence des événements a maintenant révélé que le patient zéro était une version malveillante d’un logiciel désormais abandonné fourni par une société fintech appelée Trading Technologies, qui a été téléchargé par un employé de 3CX sur son ordinateur personnel.
Il a décrit le vecteur d’intrusion initial comme « un progiciel contenant des logiciels malveillants distribué via une précédente compromission de la chaîne d’approvisionnement logicielle qui a commencé par un programme d’installation falsifié pour X_TRADER ».
Ce programme d’installation malveillant, à son tour, contenait un binaire de configuration qui laissait tomber deux DLL trojanisées et un exécutable inoffensif, ce dernier étant utilisé pour charger de côté l’une des DLL camouflées comme une dépendance légitime.
La chaîne d’attaque s’est alors appuyée sur des outils open source comme SIGFLIP et DAVESHELL pour finalement extraire et exécuter VEILEDSIGNAL, une porte dérobée modulaire à plusieurs étapes écrite en C qui est capable d’envoyer des données, d’exécuter du shellcode et de se terminer.
La compromission initiale de l’ordinateur personnel de l’employé à l’aide de VEILEDSIGNAL a permis à l’auteur de la menace d’obtenir les informations d’identification d’entreprise de l’individu, deux après quoi le premier accès non autorisé à son réseau a eu lieu via un VPN en profitant des informations d’identification volées.
En plus d’identifier les similitudes tactiques entre les applications X_TRADER et 3CXDesktopApp compromises, Mandiant a constaté que l’acteur de la menace s’est ensuite déplacé latéralement dans l’environnement 3CX et a violé les environnements de construction Windows et macOS.
« Sur l’environnement de construction Windows, l’attaquant a déployé un lanceur TAXHAUL et un téléchargeur COLDCAT qui persistaient en effectuant un chargement latéral de DLL via le service IKEEXT et s’exécutaient avec les privilèges LocalSystem », a déclaré Mandiant. « Le serveur de construction macOS a été compromis avec la porte dérobée POOLRAT utilisant des démons de lancement comme mécanisme de persistance. »
POOLRAT, précédemment classé par la société de renseignements sur les menaces sous le nom de SIMPLESEA, est un implant macOS C/C++ capable de collecter des informations système de base et d’exécuter des commandes arbitraires, notamment d’effectuer des opérations sur les fichiers.
L’UNC4736 est soupçonné d’être un groupe de menaces avec un lien nord-coréen, une évaluation qui a été renforcée par la découverte par ESET d’un domaine de commande et de contrôle (C2) qui se chevauche (journalide[.]org) employé dans l’attaque de la chaîne d’approvisionnement et celle d’une campagne du groupe Lazarus appelée Operation Dream Job.
Les preuves rassemblées par Mandiant montrent que le groupe présente des points communs avec un autre ensemble d’intrusions suivi sous le nom d’Opération AppleJeus, qui a des antécédents d’attaques à motivation financière.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
De plus, la violation du site Web de Trading Technologies aurait eu lieu début février 2022 en militarisant une faille zero-day de Google Chrome (CVE-2022-0609) pour activer une chaîne d’infection en plusieurs étapes responsable de servir des inconnus. charges utiles aux visiteurs du site.
« Le site www.tradingtechnologies[.]com a été compromis et hébergeait un IFRAME caché pour exploiter les visiteurs, deux mois seulement avant que le site ne soit connu pour fournir un progiciel X_TRADER contenant un cheval de Troie », a expliqué Mandiant.
Un autre lien le reliant à AppleJeus est l’utilisation antérieure par l’acteur de la menace d’une ancienne version de POOLRAT dans le cadre d’un campagne de longue haleine diffuser des applications de trading piégées comme CoinGoTrade pour faciliter le vol de crypto-monnaie.
L’ampleur totale de la campagne reste inconnue, et il n’est actuellement pas clair si le logiciel X_TRADER compromis a été utilisé par d’autres entreprises. La plate-forme aurait été mise hors service en avril 2020, mais elle était toujours disponible en téléchargement sur le site en 2022.
3CX, dans un mise à jour partagé le 20 avril 2023, a déclaré qu’il prenait des mesures pour renforcer ses systèmes et minimiser le risque d’attaques imbriquées de la chaîne d’approvisionnement logiciel dans le logiciel en améliorant la sécurité des produits, en incorporant des outils pour garantir l’intégrité de ses logiciels et en créant un nouveau département pour Opérations et sécurité du réseau.
« Les compromis en cascade de la chaîne d’approvisionnement des logiciels démontrent que les opérateurs nord-coréens peuvent exploiter l’accès au réseau de manière créative pour développer et distribuer des logiciels malveillants, et se déplacer entre les réseaux cibles tout en menant des opérations alignées sur les intérêts de la Corée du Nord », a déclaré Mandiant.