Gettyimages 1271491105 2

Plusieurs sociétés de sécurité ont tiré la sonnette d’alarme une attaque active de la chaîne d’approvisionnement qui utilise une version trojanisée de 3CX client d’appel vocal et vidéo largement utilisé pour cibler les clients en aval.

3CX est le développeur d’un système téléphonique basé sur un logiciel utilisé par plus de 600 000 organisations dans le monde, dont BMW, McDonald’s et le National Health Service du Royaume-Uni. La société affirme avoir plus de 12 millions d’utilisateurs quotidiens dans le monde.

Des chercheurs des sociétés de cybersécurité CrowdStrike, Sophos et SentinelOne ont publié mercredi des articles de blog détaillant une attaque de type SolarWinds – surnommée « Smooth Operator » par SentinelOne – qui implique la livraison d’installateurs trojanisés 3CXDesktopApp pour installer des logiciels malveillants infostealer dans les réseaux d’entreprise.

Ce logiciel malveillant est capable de collecter des informations système et de voler des données et des informations d’identification stockées à partir de google chrome, profils d’utilisateurs Microsoft Edge, Brave et Firefox. D’autres activités malveillantes observées incluent le balisage vers une infrastructure contrôlée par des acteurs, le déploiement de charges utiles de deuxième étape et, dans un petit nombre de cas, une « activité pratique sur le clavier », selon CrowdStrike.

Les chercheurs en sécurité signalent que les attaquants ciblent à la fois les versions Windows et macOS de l’application VoIP compromise. À l’heure actuelle, il semble que les versions Linux, iOS et android ne soient pas affectées.

Publicité

Les chercheurs de SentinelOne ont déclaré avoir vu pour la première fois des signes d’activité malveillante le 22 mars et ont immédiatement enquêté sur les anomalies, ce qui a conduit à la découverte que certaines organisations tentaient d’installer une version trojanisée de l’application de bureau 3CX qui avait été signée avec un certificat numérique valide. L’expert en sécurité d’apple, Patrick Wardle, a également trouvé qu’Apple avait notarié le logiciel malveillant, ce qui signifie que la société l’a vérifié à la recherche de logiciels malveillants et qu’aucun n’a été détecté.

RSSI 3CX Pierre Jourdan a dit jeudi que l’entreprise a connaissance d’un « problème de sécurité » impactant ses applications Windows et MacBook.

Jourdan note qu’il semble qu’il s’agisse d’une « attaque ciblée d’un pirate informatique Advanced Persistent Threat, peut-être même parrainé par l’État ». CrowdStrike suggère que l’acteur menaçant nord-coréen Labyrinth Chollima, un sous-groupe du notoire Lazarus Group, est à l’origine de l’attaque de la chaîne d’approvisionnement.

Pour contourner ce problème, la société 3CX invite ses clients à désinstaller l’application et à la réinstaller, ou à utiliser son client PWA. « En attendant, nous nous excusons abondamment pour ce qui s’est passé et nous ferons tout ce qui est en notre pouvoir pour réparer cette erreur », a déclaré Jourdan.

Il y a beaucoup de choses que nous ne savons pas encore sur l’attaque de la chaîne d’approvisionnement 3CX, y compris le nombre d’organisations potentiellement compromises. Selon Shodan.io, un site qui cartographie les appareils connectés à Internet, il existe actuellement plus de 240 000 systèmes de gestion téléphonique 3CX exposés publiquement.


4.8/5 - (10 votes)
Publicité
Article précédentBeyonce étourdit en tant que Storm dans une image à couper le souffle
Article suivantGod of War Ragnarok fait le ménage aux DICE Awards, Elden Ring remporte le jeu de l’année
Berthe Lefurgey
Berthe Lefurgey est une journaliste chevronnée, passionnée par la technologie et l'innovation, qui fait actuellement ses armes en tant que rédactrice de premier plan pour TechTribune France. Avec une carrière de plus de dix ans dans le monde du journalisme technologique, Berthe s'est imposée comme une voix de confiance dans l'industrie. Pour en savoir plus sur elle, cliquez ici. Pour la contacter cliquez ici

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici