Les intervenants en cas d’incident enquêtant sur la façon dont les pirates ont mené une attaque complexe de la chaîne d’approvisionnement ciblant le fournisseur de téléphonie d’entreprise 3CX ont déclaré que l’entreprise avait été compromise par un autre attaque de la chaîne d’approvisionnement.

3CX, qui développe un système téléphonique logiciel utilisé par plus de 600 000 organisations dans le monde avec plus de 12 millions d’utilisateurs quotidiens actifs, a travaillé avec la société de cybersécurité Mandiant pour enquêter sur l’incident. Dans son rapport publié jeudi, Mandiant a déclaré que les attaquants avaient compromis 3CX en utilisant une version contenant des logiciels malveillants du logiciel financier X_Trader, développé par Trading Technologies.

X_Trader était une plate-forme utilisée par les traders pour afficher les marchés en temps réel et historiques, que Trading Technologies a progressivement supprimée en 2020, mais Mandiant dit qu’elle était toujours disponible en téléchargement sur le site Web de la société en 2022.

Mandiant a déclaré qu’il soupçonnait que le site Web de Trading Technologies avait été compromis par un groupe de pirates informatiques soutenus par l’État nord-coréen, qu’il appelle UNC4736.

Ceci est étayé par un rapport google/threat-analysis-group/countering-threats-north-korea/ » target= »_blank » rel= »noopener »>depuis Le groupe d’analyse des menaces de Google de l’année dernière, qui a confirmé que le site Web de Trading Technologies avait été compromis en février 2022 dans le cadre d’une opération nord-coréenne ciblant des dizaines d’utilisateurs de crypto-monnaie et de fintech. Agence américaine de cybersécurité CISA dit le groupe de piratage a utilisé son logiciel malveillant personnalisé « AppleJeus » pour voler la crypto-monnaie des victimes dans plus de 30 pays.

L’enquête de Mandiant a révélé qu’un employé de 3CX avait téléchargé une version corrompue du logiciel X_Trader en avril 2022 à partir du site Web de Trading Technologies, que les pirates avaient signé numériquement avec le certificat de signature de code alors valide de l’entreprise pour donner l’impression qu’il était légitime.

Une fois installé, le logiciel a planté une porte dérobée sur l’appareil de l’employé, donnant aux attaquants un accès complet au système compromis. Cet accès a ensuite été utilisé pour se déplacer latéralement sur le réseau de 3CX et, finalement, pour compromettre l’application phare de téléphone de bureau de 3CX afin d’implanter des logiciels malveillants voleurs d’informations dans les réseaux d’entreprise de leurs clients.

« C’est remarquable pour nous car c’est la première fois que nous trouvons des preuves concrètes d’une attaque de la chaîne d’approvisionnement logicielle menant à une autre attaque de la chaîne d’approvisionnement », a déclaré Charles Carmakal, directeur de la technologie de Mandiant. « Cette série d’attaques couplées de la chaîne d’approvisionnement illustre simplement la capacité cyber-offensive croissante des acteurs de la menace nord-coréens. »

Mandiant dit avoir informé Trading Technologies de la compromission le 11 avril, mais dit qu’on ne sait pas combien d’utilisateurs sont concernés.

La porte-parole de Trading Technologies, Ellen Resnick, a déclaré à fr.techtribune.net que la société n’avait pas encore vérifié les conclusions de Mandiant et a répété qu’elle avait cessé de prendre en charge le logiciel en 2020.

Carmakel de Mandiant a ajouté qu’il est probable que « beaucoup plus de victimes » liées aux deux attaques de la chaîne d’approvisionnement seront connues dans les semaines et les mois à venir.