L’adversaire derrière l’attaque de la chaîne d’approvisionnement ciblant 3CX a déployé un implant de deuxième étape ciblant spécifiquement un petit nombre d’entreprises de crypto-monnaie.
La société russe de cybersécurité Kaspersky, qui a été suivi interne la porte dérobée polyvalente sous le nom Gopuram depuis 2020, a déclaré avoir observé une augmentation du nombre d’infections en mars 2023 coïncidant avec la violation de 3CX.
La fonction principale de Gopuram est de se connecter à un serveur de commande et de contrôle (C2) et d’attendre d’autres instructions qui permettent aux attaquants d’interagir avec le système de fichiers de la victime, de créer des processus et de lancer jusqu’à huit modules en mémoire.
Les liens de la porte dérobée avec la Corée du Nord découlent du fait qu’elle « a coexisté sur des machines victimes avec AppleJeus, une porte dérobée attribuée à l’acteur menaçant coréen Lazarus », détaillant une attaque contre une entreprise de cryptographie anonyme située en Asie du Sud-Est en 2020.
Le ciblage des sociétés de crypto-monnaie est un autre signe révélateur de l’implication du groupe Lazarus, étant donné l’accent récurrent de l’acteur menaçant sur le secteur financier pour générer des profits illicites pour la nation frappée par les sanctions.
Kaspersky a en outre déclaré avoir identifié un chevauchement C2 avec un serveur (« wirexpro[.]com ») qui a été précédemment identifié comme employé dans un Campagne AppleJeus documenté par Malwarebytes en décembre 2022.
« Comme la porte dérobée Gopuram a été déployée sur moins de dix machines infectées, cela indique que les attaquants ont utilisé Gopuram avec une précision chirurgicale », a souligné la société, ajoutant que les taux d’infection les plus élevés ont été détectés au Brésil, en Allemagne, en Italie et en France.
Alors que la chaîne d’attaque découverte jusqu’à présent implique l’utilisation d’installateurs malveillants pour distribuer un voleur d’informations (connu sous le nom de ICONIC Stealer), les dernières découvertes suggèrent que le but ultime de la campagne était peut-être d’infecter des cibles avec la porte dérobée modulaire à part entière.
Cela dit, on ne sait pas dans quelle mesure la campagne a été couronnée de succès et si elle a conduit au vol réel de données sensibles ou de crypto-monnaie. Cependant, cela soulève la possibilité qu’ICONIC Stealer ait été utilisé comme utilitaire de reconnaissance pour jeter un large filet et identifier des cibles d’intérêt pour une exploitation ultérieure.
Le développement vient comme BlackBerry a dévoilé que « la phase initiale de cette opération s’est déroulée quelque part entre la fin de l’été et le début de l’automne 2022. »
La majorité des tentatives d’attaque, selon la société canadienne, ont été enregistrées en Australie, aux États-Unis et au Royaume-Uni, les soins de santé, la pharmacie, l’informatique et la finance apparaissant comme les principaux secteurs ciblés.
Il est actuellement difficile de savoir comment l’auteur de la menace a obtenu l’accès initial au réseau 3CX, et si cela a entraîné l’exploitation d’une vulnérabilité connue ou inconnue. La compromission est suivie sous l’identifiant CVE-2023-29059.
Devenez un pro de la réponse aux incidents !
Découvrez les secrets d’une réponse aux incidents à toute épreuve – Maîtrisez le processus en 6 phases avec Asaf Perlman, le responsable IR de Cynet !
Les preuves recueillies à ce jour indiquent que les attaquants ont empoisonné l’environnement de développement de 3CX et livré des versions trojanisées de l’application légitime aux clients en aval de l’entreprise lors d’une attaque de la chaîne d’approvisionnement de type SolarWinds ou Kaseya.
L’un des composants malveillants responsables de la récupération du voleur d’informations, une bibliothèque nommée « d3dcompiler_47.dll », a également été repéré. militarisation une faille Windows vieille de 10 ans (CVE-2013-3900) pour incorporer le shellcode crypté sans invalider sa signature émise par Microsoft.
Un point à noter ici est que la même technique a été adoptée par une campagne de malware ZLoader découverte par la société israélienne de cybersécurité Check Point Research en janvier 2022.
Plusieurs versions de l’application de bureau – 18.12.407 et 18.12.416 pour Windows et 18.11.1213, 18.12.402, 18.12.407 et 18.12.416 pour macOS – ont été affectées. 3CX a depuis épinglé l’attaque sur un « pirate hautement expérimenté et compétent ».
CrowdStrike a lié l’incident à un groupe d’États-nations aligné sur la Corée du Nord qu’il suit sous le nom de Labyrinth Chollima, un sous-groupe au sein du groupe Lazarus.
