Chat Comm100

Un acteur menaçant probablement lié à la Chine a été attribué à une nouvelle attaque de la chaîne d’approvisionnement qui implique l’utilisation d’un programme d’installation trojanisé pour l’application Comm100 Live Chat afin de distribuer une porte dérobée JavaScript.

La société de cybersécurité CrowdStrike a déclaré que l’attaque utilisait une application d’agent de bureau Comm100 signée pour Windows qui était téléchargeable à partir du site Web de l’entreprise.

L’ampleur de l’attaque est actuellement inconnue, mais le fichier cheval de Troie aurait été identifié dans des organisations des secteurs de l’industrie, de la santé, de la technologie, de la fabrication, de l’assurance et des télécommunications en Amérique du Nord et en Europe.

Comm100 est un fournisseur canadien de logiciels de chat audio/vidéo en direct et d’engagement client pour les entreprises. Ce réclamations d’avoir plus de 15 000 clients dans 51 pays.

La Cyber-Sécurité

« Le programme d’installation a été signé le 26 septembre 2022 à 14:54:00 UTC à l’aide d’un certificat Comm100 Network Corporation valide », indique la société. c’est notéajoutant qu’il restait disponible jusqu’au 29 septembre.

Publicité

Intégré dans l’exécutable armé se trouve un implant basé sur JavaScript qui exécute un code JavaScript de deuxième étape hébergé sur un serveur distant, qui est conçu pour fournir à l’acteur une fonctionnalité de shell distant subreptice.

Une DLL de chargeur malveillante nommée MidlrtMd.dll est également déployée dans le cadre de l’activité de post-exploitation. Elle lance un shellcode en mémoire pour injecter une charge utile intégrée dans un nouveau processus du Bloc-notes.

Chat Comm100

Les compromis de la chaîne d’approvisionnement, comme ceux de SolarWinds et de Kaseya, deviennent une stratégie de plus en plus lucrative pour les acteurs de la menace visant à cibler un fournisseur de logiciels largement utilisé pour prendre pied dans les réseaux des clients en aval.

Au moment de la rédaction, aucun des fournisseurs de sécurité signaler l’installateur comme malveillant. À la suite de la divulgation responsable, le problème a depuis été résolu avec la publication d’un programme d’installation mis à jour (10.0.9).

La Cyber-Sécurité

CrowdStrike a lié l’attaque avec une confiance modérée à un acteur ayant un lien avec la Chine en raison de la présence de commentaires en chinois dans le logiciel malveillant et du ciblage d’entités de jeu en ligne en Asie de l’Est et du Sud-Est, un domaine d’intérêt déjà établi pour les sociétés basées en Chine. acteurs de l’intrusion.

Cela dit, la charge utile fournie dans cette activité diffère des autres familles de logiciels malveillants précédemment identifiées comme exploitées par le groupe, suggérant une expansion de son arsenal offensif.

Le nom de l’adversaire n’a pas été divulgué par CrowdStrike, mais les TTP pointent en direction d’un acteur menaçant appelé Terre Berberoka (alias GamblingPuppet), qui plus tôt cette année a été découvert en utilisant une fausse application de chat appelée MiMi dans ses attaques contre l’industrie du jeu.


Rate this post
Publicité
Article précédentNotes de mise à jour anticipées de la mise à jour Fortnite 22.10: date de sortie, fuites et plus
Article suivantMatt Homer, responsable des investissements en crypto-monnaie et ancien surintendant exécutif adjoint de la division de la recherche et de l’innovation au département des services financiers de New York, devient conseiller principal de la pratique Crypto + FinTech de Tusk Strategies
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici