Une attaque de la chaîne d’approvisionnement a installé une porte dérobée dans les ordinateurs du monde entier mais n’a été déployée que sur moins de 10 ordinateurs, la société de cybersécurité Kaspersky a signalé. Les déploiements ont montré un intérêt particulier pour les sociétés de crypto-monnaie, a-t-il ajouté.
La société de cybersécurité Crowdstrike a annoncé le 29 mars avoir identifié une activité malveillante sur l’application de softphone 3CX 3CXDesktopApp. L’application est commercialisée auprès des entreprises clientes. L’activité malveillante détectée comprenait « le balisage vers une infrastructure contrôlée par des acteurs, le déploiement de charges utiles de deuxième étape et, dans un petit nombre de cas, une activité manuelle sur le clavier ».
Kaspersky a dit il soupçonnait l’implication de l’acteur menaçant lié à la Corée du Nord, Labyrinth Chollima. 3CX a déclaré à propos de l’infection :
« Cela semble avoir été une attaque ciblée d’une menace persistante avancée, peut-être même parrainée par l’État, qui a lancé une attaque complexe de la chaîne d’approvisionnement et choisi qui téléchargerait les prochaines étapes de leur logiciel malveillant. »
Kaspersky enquêtait déjà sur une bibliothèque de liens dynamiques (DLL) trouvée dans l’un des fichiers 3CXDesktopApp.exe infectés, a-t-il déclaré. La DLL en question avait été utilisée pour fournir la porte dérobée Gopuram, bien que ce ne soit pas la seule charge utile malveillante déployée dans l’attaque. Il a été découvert que Gopuram coexiste avec la porte dérobée AppleJeus attribuée au groupe nord-coréen Lazarus, a ajouté Kaspersky.
En relation: Les pirates nord-coréens prétendent être des VC crypto dans un nouveau schéma de phishing – Kaspersky
Des logiciels 3CX infectés ont été détectés dans le monde entier, avec les chiffres d’infection les plus élevés au Brésil, en Allemagne, en Italie et en France. Gopuram a été déployé dans moins de dix ordinateurs, cependant, dans un affichage de « précision chirurgicale », a déclaré Kaspersky. Cela a trouvé une infection Gopuram dans une société de crypto-monnaie d’Asie du Sud-Est dans le passé.
Si vous recherchez un aperçu complet de l’actualité #3CX attaque de la chaîne d’approvisionnement, j’ai créé un diagramme qui montre le flux d’attaque ! Je mettrai à jour dès que l’analyse progressera. Restez à l’écoute pour l’édition MacOS ! #la cyber-sécurité #infosec #supplychainattack #3CXpocalypse pic.twitter.com/ANVLCgExmU
– Thomas Roccia (@fr0gger_) 31 mars 2023
L’application 3CX est utilisée par plus de 600 000 entreprises, dont plusieurs grandes marques, Kapersky a dit, citant le fabricant. L’application infectée était certifiée DigiCert.
Magazine : 4 ventes NFT sur 10 sont fausses : apprenez à repérer les signes du wash trading