La société de communications VoIP 3CX a confirmé aujourd’hui qu’un groupe de piratage nord-coréen était à l’origine de l’attaque de la chaîne d’approvisionnement du mois dernier.

« Sur la base de l’enquête de Mandiant sur l’intrusion de 3CX et l’attaque de la chaîne d’approvisionnement jusqu’à présent, ils attribuent l’activité à un cluster nommé UNC4736. Mandiant évalue avec une grande confiance que l’UNC4736 a un lien avec la Corée du Nord », a déclaré aujourd’hui le CISO de 3CX Pierre Jourdan.

Les attaquants ont infecté les systèmes 3CX avec un malware connu sous le nom de Taxhaul (ou TxRLoader), qui a déployé un téléchargeur de malware de deuxième niveau nommé Coldcat par Mandiant.

Le logiciel malveillant a atteint la persistance sur les systèmes compromis grâce au chargement latéral de DLL via des binaires Microsoft Windows légitimes, ce qui le rend plus difficile à détecter.

De plus, il s’est automatiquement chargé lors du démarrage du système sur tous les appareils infectés, accordant aux attaquants un accès à distance via Internet.

« Sous Windows, l’attaquant a utilisé le chargement latéral de DLL pour assurer la persistance du logiciel malveillant TAXHAUL. La DLL a été chargée par le service Windows légitime IKEEXT via le binaire Windows légitime svchost.exe », a déclaré Jourdan.

Les systèmes macOS ciblés par l’attaque ont également été piratés avec un logiciel malveillant nommé Simplesea que Mandiant analyse toujours pour déterminer s’il chevauche des familles de logiciels malveillants précédemment connues.

« Les commandes de porte dérobée prises en charge incluent l’exécution de commandes shell, le transfert de fichiers, l’exécution de fichiers, la gestion de fichiers et la mise à jour de la configuration. Il peut également être chargé de tester la connectivité d’une adresse IP et d’un numéro de port fournis », a ajouté Jourdan.

Malware déployé par UNC4736 sur le réseau de 3CX connecté à plusieurs serveurs de commande et de contrôle (C2) sous le contrôle des attaquants, y compris azureonlinecloud[.]com, akamaicontainer[.]com, journalide[.]org et msboxonline[.]com .

3CX n’a pas encore révélé comment l’attaque de la chaîne d’approvisionnement a été menée en premier lieu, si son environnement de développement a été compromis ou par une autre méthode.

Depuis que l’attaque a été révélée pour la première fois, Kaspersky a également découvert qu’une porte dérobée connue sous le nom de Gopuram, utilisée par le groupe de piratage Lazarus soutenu par la Corée du Nord contre les sociétés de crypto-monnaie depuis au moins 2020, a également été abandonnée en tant que charge utile de deuxième étape dans le même incident sur le appareils compromis d’un nombre limité de clients 3CX.

3CX a confirmé pour la première fois que son client de bureau basé sur 3CXDesktopApp Electron avait été compromis dans une attaque de la chaîne d’approvisionnement pour déployer des logiciels malveillants un jour après que la nouvelle de l’attaque a fait surface le 29 mars et plus d’une semaine après que les clients ont commencé à signaler que le logiciel était étiqueté comme malveillant par les solutions de sécurité de SentinelOne, CrowdStrike, ESET, Palo Alto Networks et SonicWall.

La société a conseillé aux clients de désinstaller le client de bureau Electron concerné de tous les appareils Windows et macOS (un script de désinstallation en masse est disponible ici) et de passer immédiatement à l’application Web Progressive Web Application (PWA) offrant des fonctionnalités similaires.

Après la divulgation de l’incident (suivi sous le numéro CVE-2023-29059), Breachtrace a également signalé que les acteurs de la menace avaient exploité une vulnérabilité Windows vieille de 10 ans (CVE-2013-3900) pour camoufler les DLL malveillantes regroupant les charges utiles comme légitimement signées.

Les chercheurs en sécurité ont également créé un outil Web pour aider les utilisateurs de 3CX à savoir si l’attaque de la chaîne d’approvisionnement de mars 2023 a potentiellement eu un impact sur leur adresse IP.

3CX affirme que son système téléphonique 3CX est utilisé par plus de 600 000 entreprises dans le monde et plus de 12 millions d’utilisateurs par jour, avec une liste de clients comprenant des entreprises et des organisations de premier plan comme American Express, Coca-Cola, McDonald’s, Air France, IKEA, le UK’s National Health Service, et plusieurs constructeurs automobiles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *