3CXDesktopApp Supply Chain Attack Detection: Active Intrusion Campaign Targeting Millions of 3CX Customers

Des experts en cybersécurité ont découvert une campagne d’adversaires en cours exploitant 3CXDesktopApp, une application logicielle de communication d’entreprise utilisée par 12 millions de clients dans le monde. Selon les rapports, les acteurs malveillants obtiennent un accès initial à l’environnement compromis, déploient des charges utiles, puis tentent de déposer un logiciel malveillant voleur d’informations capable de détourner les identifiants de connexion à la dernière étape de l’attaque.

Détection potentielle d’un compromis de 3CX 3CXDesktopApp

Pour permettre aux organisations de détecter à temps l’attaque liée à 3CXDesktopApp, la plateforme SOC Prime propose un ensemble de règles Sigma, y compris des règles open-source disponibles gratuitement. Cliquez sur le Explorer les détections bouton ci-dessous et explorez le contenu de détection accompagné du contexte pertinent de la menace cybernétique, y compris références MITRE ATT&CK®, intelligence des menaces, binaires exécutables et mesures d’atténuation pour une recherche sur les menaces simplifiée.

De plus, l’équipe SOC Prime a créé un pack IOC gratuit pour Uncoder afin d’aider les praticiens de la sécurité à générer de manière transparente des requêtes personnalisées basées sur des IOC adaptées à la plateforme SIEM, EDR ou XDR utilisée et à rationaliser l’enquête sur d’éventuels incidents. Appuyez sur le Obtenir le pack IOC bouton et accédez instantanément à la collection d’IOC prêtes à être exécutées dans Uncoder.

Explorer les détectionsObtenir le pack IOC

Analyse de l’attaque de la chaîne d’approvisionnement de 3CXDesktopApp

Au tournant d’avril 2023, une nouvelle campagne d’intrusion ciblant les clients 3CX a fait l’actualité dans le domaine des menaces cybernétiques. Les attaquants ont ciblé le logiciel populaire 3CXDesktopApp, qui a été trojanisé et exploité dans une attaque sur la chaîne d’approvisionnement exposant des millions d’utilisateurs mondiaux à une menace sérieuse.

Le 30 mars, CISA a émis une alerte détaillant l’attaque en cours contre le logiciel 3CX et ses utilisateurs. Pour sensibiliser à la cybersécurité, CISA a exhorté les organisations mondiales à consulter les rapports correspondants des fournisseurs de sécurité, y compris CrowdStrike and SentinelOne, ainsi que la dernière alerte de sécurité 3CX DesktopApp pour obtenir plus d’informations sur l’activité récente des adversaires et identifier à temps l’intrusion potentielle. Cette dernière alerte de 3CX a informé les clients et les partenaires de l’entreprise de la faille de sécurité liée à la mise à jour de l’application Electron Windows v7 affectant les clients Windows et macOS.

3CX suggère que l’activité adverse pourrait être une attaque ciblée à plusieurs étapes lancée par un groupe APT soutenu par une nation. L’équipe d’intelligence de CrowdStrike suppose que la campagne peut être attribuée au collectif de piratage nord-coréen LABYRINTH CHOLLIMA, qui pourrait être considéré comme un sous-ensemble du tristement célèbre Groupe Lazarus.

De plus, 3CX a informé les clients du travail en cours sur la nouvelle version de l’application Windows avec un nouveau certificat. 3CX recommande actuellement d’appliquer l’application PWA basée sur le web, qui ne nécessite aucune installation ou mise à jour et exploite la sécurité web de Chrome pour la protection contre les menaces.

La chaîne d’infection est déclenchée par l’installation d’un fichier MSI sur Windows et d’un fichier DMG sur les versions de l’application macOS. Sur Windows, l’installateur MSI charge et exécute un fichier DLL malveillant destiné à télécharger davantage un fichier icône dans une période de sommeil aléatoire d’une à quatre semaines.

À la dernière étape de l’attaque, le système compromis peut être infecté davantage avec un voleur d’informations via le DLL side-loading, qui, selon les chercheurs de SentinelOne, peut voler des données et des identifiants de connexion à partir de navigateurs web populaires.

Avec l’attaque en cours 3CXDesktopApp mettant des millions d’utilisateurs de 3CXDesktopApp dans le monde à risque de compromission, les défenseurs du cyberespace recherchent des moyens fiables et faisables de répondre à temps à des menaces similaires. En tirant parti de l’ Uncoder AI, qui s’appuie sur l’intelligence collective et la puissance de l’IA, les équipes de sécurité peuvent instantanément atteindre les IOC pertinents et les convertir en requêtes de chasse optimisées pour la performance prêtes à être exécutées dans leur environnement SIEM ou EDR.