L’attaque de la chaîne d’approvisionnement logicielle X_Trader qui a conduit à la violation de 3CX le mois dernier a également touché au moins plusieurs organisations d’infrastructure critiques aux États-Unis et en Europe, selon l’équipe Threat Hunter de Symantec.
Le groupe de menaces soutenu par la Corée du Nord lié aux attaques de Trading Technologies et 3CX a utilisé un programme d’installation trojanisé pour le logiciel X_Trader pour déployer la porte dérobée modulaire à plusieurs étapes VEILEDSIGNAL sur les systèmes des victimes.
Une fois installé, le logiciel malveillant peut exécuter un shellcode malveillant ou injecter un module de communication dans les processus Chrome, Firefox ou Edge exécutés sur des systèmes compromis.
« L’enquête initiale menée par l’équipe Threat Hunter de Symantec a, à ce jour, révélé que parmi les victimes figurent deux organisations d’infrastructures critiques dans le secteur de l’énergie, l’une aux États-Unis et l’autre en Europe », a déclaré la société dans un rapport publié aujourd’hui.
« En plus de cela, deux autres organisations impliquées dans le commerce financier ont également été violées. »
Alors que la compromission de la chaîne d’approvisionnement de Trading Technologies est le résultat d’une campagne à motivation financière, la violation de plusieurs organisations d’infrastructures critiques est inquiétante, étant donné que les groupes de piratage soutenus par la Corée du Nord sont également connus pour le cyberespionnage.
Il est très probable que les organisations stratégiques compromises dans le cadre de cette attaque de la chaîne d’approvisionnement seront également ciblées pour une exploitation ultérieure.
Bien que Symantec n’ait pas nommé les deux organisations du secteur de l’énergie, Eric Chien, directeur de l’équipe de réponse à la sécurité de Symantec Threat Hunter, a déclaré à Breachtrace qu’il s’agissait de « fournisseurs d’énergie générant et fournissant de l’énergie au réseau ».
Attaque de grande envergure sur la chaîne d’approvisionnement
Après avoir piraté au moins quatre autres entités en plus de 3CX à l’aide du logiciel X_Trader trojanisé, il est également fort probable que la campagne de piratage nord-coréenne ait déjà touché d’autres victimes encore à découvrir.
« La découverte que 3CX a été piraté par une autre attaque antérieure de la chaîne d’approvisionnement a rendu très probable que d’autres organisations seraient touchées par cette campagne, qui s’avère maintenant être beaucoup plus étendue qu’on ne le pensait à l’origine », a ajouté Symantec.
« Les attaquants à l’origine de ces violations ont clairement un modèle réussi pour les attaques de la chaîne d’approvisionnement logicielle et, en outre, des attaques similaires ne peuvent être exclues. »
Jeudi, Mandiant a lié un groupe de menaces nord-coréen qu’il suit sous le nom d’UNC4736 à l’attaque en cascade de la chaîne d’approvisionnement qui a frappé la société VoIP 3CX en mars.
UNC4736 est lié au groupe Lazarus, financé par la Corée du Nord, à l’origine de l’opération AppleJeus [1, 2, 3], précédemment lié par le Threat Analysis Group (TAG) de Google à la compromission du site Web de Trading Technologies.
Sur la base du chevauchement de l’infrastructure d’attaque, Mandiant a également connecté UNC4736 à deux clusters d’activités malveillantes APT43 suivis comme UNC3782 et UNC4469.