Certaines des victimes affectées par l’attaque de la chaîne d’approvisionnement 3CX ont également vu leurs systèmes protégés par le malware Gopuram, les acteurs de la menace ciblant spécifiquement les sociétés de crypto-monnaie avec cette charge utile malveillante supplémentaire.
La société de communications VoIP 3CX a été compromise par des acteurs de la menace nord-coréens suivis sous le nom de Lazarus Group pour infecter les clients de l’entreprise avec des versions trojanisées de ses applications de bureau Windows et macOS dans une attaque à grande échelle de la chaîne d’approvisionnement.
Dans cette attaque, les attaquants ont remplacé deux DLL utilisées par l’application de bureau Windows par des versions malveillantes qui téléchargeraient des logiciels malveillants supplémentaires sur les ordinateurs, comme un cheval de Troie voleur d’informations.
Depuis lors, Kaspersky a découvert que la porte dérobée Gopuram précédemment utilisée par le groupe de piratage Lazarus contre les sociétés de crypto-monnaie depuis au moins 2020, a également été déployée en tant que charge utile de deuxième étape dans le même incident dans les systèmes d’un nombre limité de clients 3CX concernés.
Gopuram est une porte dérobée modulaire qui peut être utilisée par ses opérateurs pour manipuler le registre et les services Windows, effectuer un horodatage des fichiers pour échapper à la détection, injecter des charges utiles dans des processus déjà en cours d’exécution, charger des pilotes Windows non signés à l’aide de l’utilitaire de pilote du noyau open source, ainsi que gestion partielle des utilisateurs via la commande net sur les appareils infectés.
« La découverte des nouvelles infections à Gopuram nous a permis d’attribuer la campagne 3CX à l’acteur menaçant Lazarus avec une confiance moyenne à élevée. Nous pensons que Gopuram est le principal implant et la charge utile finale dans la chaîne d’attaque », ont déclaré les chercheurs de Kaspersky.
Le nombre d’infections de Gopuram dans le monde a augmenté en mars 2023, les attaquants déposant une bibliothèque malveillante (wlbsctrl.dll) et une charge utile de shellcode cryptée (.TxR.0.regtrans-ms) sur les systèmes des sociétés de crypto-monnaie impactées par la chaîne d’approvisionnement 3CX. attaque.
Les chercheurs de Kaspersky ont découvert que les attaquants utilisaient Gopuram avec précision, ne le déployant que sur moins de dix machines infectées, ce qui suggère que la motivation des attaquants pourrait être financière et se concentrer sur ces entreprises.
« En ce qui concerne les victimes dans notre télémétrie, les installations du logiciel 3CX infecté sont situées dans le monde entier, avec les chiffres d’infection les plus élevés observés au Brésil, en Allemagne, en Italie et en France », ont ajouté les experts de Kaspersky.
« Comme la porte dérobée Gopuram a été déployée sur moins de dix machines infectées, cela indique que les attaquants ont utilisé Gopuram avec une précision chirurgicale. Nous avons également observé que les attaquants ont un intérêt spécifique pour les sociétés de crypto-monnaie. »
Les clients ont été invités à passer au client Web PWA
3CX a confirmé que son client de bureau basé sur 3CXDesktopApp Electron avait été compromis pour inclure des logiciels malveillants un jour après que la nouvelle de l’attaque a fait surface le 29 mars et plus d’une semaine après que plusieurs clients ont signalé des alertes indiquant que le logiciel était marqué comme malveillant par un logiciel de sécurité.
La société conseille désormais aux clients de désinstaller l’application de bureau Electron de tous les systèmes Windows et macOS (un script pour la désinstallation en masse de l’application sur les réseaux est disponible ici) et de passer à l’application Web Progressive Web Application (PWA).
Un groupe de chercheurs en sécurité a développé et publié un outil basé sur le Web pour détecter si une adresse IP spécifique a été potentiellement affectée par l’attaque de la chaîne d’approvisionnement de mars 2023 contre 3CX.
« L’identification des parties potentiellement affectées est basée sur des listes d’adresses IP qui interagissaient avec une infrastructure malveillante », explique l’équipe de développement.
Comme Breachtrace l’a signalé quelques jours après la révélation de l’incident (désormais suivi sous le nom de CVE-2023-29059), les acteurs de la menace à l’origine ont exploité une vulnérabilité Windows vieille de 10 ans (CVE-2013-3900) pour faire croire que les DLL malveillantes utilisaient pour déposer des charges utiles supplémentaires ont été légitimement signés.
La même vulnérabilité a été utilisée pour infecter les ordinateurs Windows avec le logiciel malveillant bancaire Zloader capable de voler les informations d’identification des utilisateurs et des informations privées.
3CX affirme que son système téléphonique 3CX compte plus de 12 millions d’utilisateurs par jour et est utilisé par plus de 600 000 entreprises dans le monde.
Sa liste de clients comprend des entreprises et des organisations de premier plan comme American Express, Coca-Cola, McDonald’s, Air France, IKEA, le National Health Service du Royaume-Uni et plusieurs constructeurs automobiles, dont BMW, Honda, Toyota et Mercedes-Benz.