L'attaque de la chaîne d'approvisionnement contre 3CX affecte des millions d'utilisateurs
Deux sociétés de sécurité ont détecté une attaque de la chaîne d'approvisionnement contre 3CX, un fournisseur de logiciels de communication très répandu.
Le logiciel malveillant a infecté le client Windows Electron, mais seulement pour les clients qui ont mis à jour la version 7. L'attaque a été remarquée pour la première fois il y a plus d'une semaine. SentinelOne, une société de sécurité, a découvert le logiciel malveillant 3CX DesktopApp et a déclaré qu'il ne s'agissait que de la première étape d'une attaque en plusieurs étapes.
Le logiciel malveillant extrait de Github des fichiers ICO auxquels sont annexées des données base64 et passe à la troisième étape, où il aboutit à une DLL de vol d'informations. Cette DLL est analysée pour déterminer son interface avec les données du navigateur, afin que les attaquants puissent passer au crible la masse des clients infectés en aval et exécuter de futures opérations. Le logiciel affecté étant un client de bureau, il est conseillé aux utilisateurs d'utiliser l'application web progressive au lieu du client jusqu'à ce qu'il soit mis à jour.
Nick Galea, PDG de 3CX, a confirmé l'infection et a recommandé à ses clients d'utiliser le client PWA au lieu du client de bureau affecté. La société affirme avoir plus de 12 millions d'utilisateurs quotidiens et dessert un large éventail d'industries, y compris de grandes entreprises telles que Mercedes Benz, McDonald's, BMW, Holiday Inn, le NHS, American Express, Coca-Cola et Air France.
Crowdstrike a également repéré une activité similaire sur Windows et Mac, et soupçonne que l'attaque est l'œuvre du Labyrinth Chollima de Corée du Nord, un sous-ensemble de Lazarus. Ce groupe mène principalement des opérations d'espionnage visant les armées américaine et sud-coréenne.
Les clients de 3CX ont signalé une activité suspecte, de longues listes de fichiers et de répertoires affectés, et des scripts shell pour effectuer un nettoyage. Ces messages sur le forum remontent au 22 mars, avec des personnes avertissant d'une intrusion. Les attaques contre la chaîne d'approvisionnement constituent une menace croissante depuis l'incident de Solar Wind en 2020. L'attaque 3CX est la plus importante depuis Solar Wind et la crise Kaseya qui a suivi.
Le logiciel malveillant 3CX desktop client recueille des informations à partir de Chrome, Edge, Brave et Firefox, notamment l'historique du navigateur, les données de la table des lieux dans Firefox et les tables de l'historique de Chrome. Il est essentiel de noter que les attaques contre la chaîne d'approvisionnement peuvent toucher n'importe quelle entreprise et des millions d'utilisateurs.
En réponse à cette attaque, 3CX travaille sur une mise à jour de la DesktopApp, qui sera publiée dans les prochaines heures. L'entreprise s'occupe également des BLF immédiatement et des touches de raccourci si possible. Jusqu'à ce que la nouvelle version soit publiée, 3CX recommande fortement d'utiliser le client PWA au lieu du client Electron affecté.
Les sources de cette pièce incluent un article dans TheRegister.