3CX a déclaré qu’il travaillait sur une mise à jour logicielle pour son application de bureau après que plusieurs fournisseurs de cybersécurité ont sonné l’alarme sur ce qui semble être une attaque active de la chaîne d’approvisionnement qui utilise des installateurs signés numériquement et truqués du logiciel de conférence vocale et vidéo populaire pour cibler les clients en aval.
« L’application de bureau 3CX trojanisée est la première étape d’une chaîne d’attaque en plusieurs étapes qui extrait les fichiers ICO ajoutés aux données Base64 de GitHub et conduit finalement à une DLL d’infostealer de troisième étape », ont déclaré les chercheurs de SentinelOne.
La société de cybersécurité suit l’activité sous le nom de SmoothOperator, déclarant que l’acteur de la menace a enregistré une infrastructure d’attaque massive dès février 2022. Il y a des indications que l’attaque pourrait avoir commencé vers le 22 mars 2023.
3CX, la société derrière 3CXDesktopApp, prétend avoir plus de 600 000 clients et 12 millions d’utilisateurs dans 190 pays, dont certains incluent des noms bien connus comme American Express, BMW, Honda, Ikea, Pepsi et Toyota, entre autres.
Bien que le client PBX 3CX soit disponible pour plusieurs plates-formes, les données de télémétrie montrent que les attaques observées jusqu’à présent se limitent au client Windows Electron (versions 18.12.407 et 18.12.416) et aux versions macOS du système téléphonique PBX.
La chaîne d’infection, en un mot, tire parti de la technique de chargement latéral de DLL pour charger une DLL malveillante (ffmpeg.dll) conçue pour récupérer une charge utile de fichier d’icônes (ICO). Le référentiel GitHub hébergeant le fichier a depuis été supprimé.
La charge utile finale est un voleur d’informations capable de collecter des informations système et des données sensibles stockées dans les navigateurs Google Chrome, Microsoft Edge, Brave et Mozilla Firefox.
L’échantillon macOS (un fichier de 381 Mo), selon le chercheur en sécurité Patrick Wardle, porte une signature valide et est notarié par Apple, ce qui signifie qu’il peut être exécuté sans que le système d’exploitation ne le bloque.
L’application malveillante, similaire à son homologue Windows, comprend un binaire Mach-O nommé libffmpeg.dylib conçu pour atteindre un serveur externe « pbxsources[.]com » pour télécharger et exécuter un fichier nommé UpdateAgent. Le serveur est actuellement hors ligne.
Huntress a signalé qu’il existe 242 519 systèmes de gestion téléphonique 3CX exposés au public. Symantec, propriété de Broadcom, a déclaré dans son propre avis que « les informations recueillies par ce logiciel malveillant ont vraisemblablement permis aux attaquants d’évaluer si la victime était candidate à un compromis supplémentaire ».
« En raison de son utilisation généralisée et de son importance dans le système de communication d’une organisation, les acteurs de la menace peuvent causer des dommages importants (par exemple, en surveillant ou en redirigeant les communications internes et externes) aux entreprises qui utilisent ce logiciel », a déclaré Trend Micro.
La société de cybersécurité CrowdStrike a déclaré qu’elle attribuait l’attaque avec une grande confiance à un acteur de l’État-nation nord-coréen qu’elle suit sous le nom de Labyrinth Chollima (alias Nickel Academy), un sous-cluster au sein du célèbre groupe Lazarus.
« L’activité malveillante comprend le balisage vers une infrastructure contrôlée par des acteurs, le déploiement de charges utiles de deuxième étape et, dans un petit nombre de cas, une activité manuelle sur le clavier », a ajouté CrowdStrike.
Dans un message sur le forum, le PDG de 3CX, Nick Galea, a déclaré qu’il était en train de publier une nouvelle version au cours des prochaines heures, et a noté que les versions Android et iOS ne sont pas affectées. « Malheureusement, cela s’est produit parce qu’une bibliothèque en amont que nous utilisons a été infectée », a déclaré Galea, sans donner plus de détails.
Pour contourner le problème, la société exhorte ses clients à désinstaller l’application et à la réinstaller, ou à utiliser le client PWA.
3CX, dans une mise à jour de suivi, a déclaré que « le problème semble être l’une des bibliothèques groupées que nous avons compilées dans l’application Windows Electron via git » et qu’il étudie davantage la question.