Une enquête sur l’attaque de la chaîne d’approvisionnement 3CX du mois dernier a révélé qu’elle avait été causée par une autre compromission de la chaîne d’approvisionnement où des attaquants nord-coréens présumés ont piraté le site de la société d’automatisation des opérations boursières Trading Technologies pour pousser les versions de logiciels trojanisés.

« Nous soupçonnons qu’un certain nombre d’organisations ne savent pas encore qu’elles sont compromises », a déclaré Charles Carmakal, directeur technique de Mandiant Consulting, à Breachtrace.

« Nous espérons qu’une fois que nous aurons obtenu ces informations, cela contribuera à accélérer le processus permettant aux entreprises de déterminer qu’elles sont compromises et de contenir leurs incidents. »

Le programme d’installation malveillant du logiciel X_TRADER de Trading Technologies a déployé la porte dérobée modulaire en plusieurs étapes VEILEDSIGNAL conçue pour exécuter du shellcode, injecter un module de communication dans les processus Chrome, Firefox ou Edge et se terminer.

Selon Mandiant, la société de cybersécurité qui a aidé 3CX à enquêter sur l’incident, le groupe de menaces (suivi sous le numéro UNC4736) a utilisé les informations d’identification collectées pour se déplacer latéralement sur le réseau de 3CX, violant finalement les environnements de construction Windows et macOS.

« Sur l’environnement de construction Windows, l’attaquant a déployé le lanceur TAXHAUL et le téléchargeur COLDCAT qui ont persisté en effectuant un détournement de DLL pour le service IKEEXT et ont fonctionné avec les privilèges LocalSystem », a déclaré Mandiant.

« Le serveur de build macOS a été compromis avec la porte dérobée POOLRAT utilisant LaunchDaemons comme mécanisme de persistance. »

Le logiciel malveillant a atteint la persistance grâce au chargement latéral de DLL via des binaires Microsoft Windows légitimes, ce qui le rendait plus difficile à détecter.

Il s’est également chargé automatiquement au démarrage, permettant aux attaquants d’accéder à distance à tous les appareils compromis sur Internet.

Liens vers Opération AppleJeus
Mandiant dit que l’UNC4736 est lié au groupe nord-coréen Lazarus motivé financièrement derrière l’opération AppleJeus [1, 2, 3], qui a également été lié par le groupe d’analyse des menaces (TAG) de Google à la compromission du site Web www.tradingtechnologies[.] com en un rapport de mars 2022.

Sur la base du chevauchement des infrastructures, la société de cybersécurité a également lié UNC4736 à deux clusters d’activité malveillante suspectée APT43, suivis comme UNC3782 et UNC4469.

« Nous avons déterminé que l’UNC4736 est lié aux mêmes opérateurs nord-coréens basés sur l’application X_TRADER trojanisée, distribuée via le même site compromis mentionné dans le blog TAG », a déclaré Fred Plan, analyste principal de Mandiant pour Google Cloud, à Breachtrace.

« Ceci, combiné aux similitudes dans les TTP et au chevauchement sur d’autres infrastructures, nous donne une confiance modérée dans le fait que ces opérateurs sont liés les uns aux autres. »

L’attaque de la chaîne d’approvisionnement 3CX
Le 29 mars, 3CX a reconnu que son client de bureau basé sur Electron, 3CXDesktopApp, avait été compromis pour distribuer des logiciels malveillants, un jour après l’annonce d’une attaque de la chaîne d’approvisionnement.

Il a fallu plus d’une semaine à 3CX pour réagir aux rapports des clients indiquant que son logiciel avait été identifié comme malveillant par plusieurs sociétés de cybersécurité, dont CrowdStrike, ESET, Palo Alto Networks, SentinelOne et SonicWall.

Nick Galea, PDG de la société, a également déclaré après la divulgation de l’attaque qu’un binaire ffmpeg utilisé par le client de bureau 3CX pourrait avoir été le vecteur d’intrusion initial. Cependant, FFmpeg a nié les allégations de Galea, affirmant qu’il ne fournit que du code source qui n’a pas été compromis.

3CX a conseillé à ses clients de désinstaller son client de bureau Electron de tous les appareils Windows et macOS (un script de désinstallation en masse peut être trouvé ici) et de passer immédiatement à l’application Web progressive (PWA). L’application client Web offre des fonctionnalités similaires.

En réponse à la divulgation de 3CX, une équipe de chercheurs en sécurité a créé un outil Web pour aider les clients de l’entreprise à déterminer si leur adresse IP était potentiellement affectée par l’attaque de la chaîne d’approvisionnement de mars 2023.

Selon le site officiel de la société, le système téléphonique 3CX compte plus de 12 millions d’utilisateurs quotidiens et est utilisé par plus de 600 000 entreprises dans le monde, y compris des organisations et des entreprises de premier plan comme American Express, Coca-Cola, McDonald’s, Air France, IKEA, le National Health Service du Royaume-Uni et plusieurs constructeurs automobiles.

« Le compromis identifié dans la chaîne d’approvisionnement des logiciels est le premier dont nous ayons connaissance qui a conduit à un compromis supplémentaire dans la chaîne d’approvisionnement des logiciels », a déclaré Mandiant.

« Cela montre la portée potentielle de ce type de compromission, en particulier lorsqu’un acteur malveillant peut enchaîner les intrusions, comme le démontre cette enquête. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *