par 
Plusieurs sociétés de sécurité ont tiré la sonnette d’alarme une attaque active de la chaîne d’approvisionnement qui utilise une version trojanisée de 3CX client d’appels vocaux et vidéo largement utilisé pour cibler les clients en aval.
3CX est le développeur d’un système téléphonique basé sur un logiciel utilisé par plus de 600 000 organisations dans le monde, dont American Express, BMW, McDonald’s et le National Health Service du Royaume-Uni. La société affirme avoir plus de 12 millions d’utilisateurs quotidiens dans le monde.
Des chercheurs des sociétés de cybersécurité CrowdStrike, Sophos et SentinelOne ont publié mercredi des articles de blog détaillant une attaque de type SolarWinds – surnommée “Smooth Operator” par SentinelOne – qui implique la livraison d’installateurs trojanisés 3CXDesktopApp pour installer des logiciels malveillants infostealer dans les réseaux d’entreprise.
Ce logiciel malveillant est capable de collecter des informations système et de voler des données et des informations d’identification stockées à partir de Google Chrome, Microsoft Edge, Brave et Firefox. D’autres activités malveillantes observées incluent le balisage vers une infrastructure contrôlée par des acteurs, le déploiement de charges utiles de deuxième étape et, dans un petit nombre de cas, une “activité pratique sur le clavier”, selon CrowdStrike.
Les chercheurs en sécurité signalent que les attaquants ciblent à la fois les versions Windows et macOS de l’application VoIP compromise. À l’heure actuelle, il semble que les versions Linux, iOS et Android ne soient pas affectées.
Les chercheurs de SentinelOne ont déclaré avoir vu pour la première fois des signes d’activité malveillante le 22 mars et ont immédiatement enquêté sur les anomalies, ce qui a conduit à la découverte que certaines organisations tentaient d’installer une version trojanisée de l’application de bureau 3CX qui avait été signée avec un certificat numérique valide. L’expert en sécurité d’Apple, Patrick Wardle, a également trouvé qu’Apple avait notarié le logiciel malveillant, ce qui signifie que la société l’a vérifié à la recherche de logiciels malveillants et qu’aucun n’a été détecté.
Le RSSI de 3CX, Pierre Jourdan, a déclaré jeudi que l’entreprise était consciente d’un “problème de sécurité” impactant ses applications Windows et MacBook.
Jourdan note qu’il semble qu’il s’agisse d’une “attaque ciblée d’un pirate informatique Advanced Persistent Threat, peut-être même parrainé par l’État”. CrowdStrike suggère que l’acteur menaçant nord-coréen Labyrinth Chollima, un sous-groupe du notoire Lazarus Group, est à l’origine de l’attaque de la chaîne d’approvisionnement.
Pour contourner ce problème, la société 3CX invite ses clients à désinstaller l’application et à la réinstaller, ou à utiliser son client PWA. “En attendant, nous nous excusons abondamment pour ce qui s’est passé et nous ferons tout ce qui est en notre pouvoir pour réparer cette erreur », a déclaré Jourdan.
Il y a beaucoup de choses que nous ne savons pas encore sur l’attaque de la chaîne d’approvisionnement 3CX, y compris le nombre d’organisations potentiellement compromises. Selon Shodan.io, un site qui cartographie les appareils connectés à Internet, il existe actuellement plus de 240 000 systèmes de gestion téléphonique 3CX exposés publiquement.
rewrite this content and keep HTML tags
Plusieurs sociétés de sécurité ont tiré la sonnette d’alarme une attaque active de la chaîne d’approvisionnement qui utilise une version trojanisée de 3CX client d’appels vocaux et vidéo largement utilisé pour cibler les clients en aval.
3CX est le développeur d’un système téléphonique basé sur un logiciel utilisé par plus de 600 000 organisations dans le monde, dont American Express, BMW, McDonald’s et le National Health Service du Royaume-Uni. La société affirme avoir plus de 12 millions d’utilisateurs quotidiens dans le monde.
Des chercheurs des sociétés de cybersécurité CrowdStrike, Sophos et SentinelOne ont publié mercredi des articles de blog détaillant une attaque de type SolarWinds – surnommée “Smooth Operator” par SentinelOne – qui implique la livraison d’installateurs trojanisés 3CXDesktopApp pour installer des logiciels malveillants infostealer dans les réseaux d’entreprise.
Ce logiciel malveillant est capable de collecter des informations système et de voler des données et des informations d’identification stockées à partir de Google Chrome, Microsoft Edge, Brave et Firefox. D’autres activités malveillantes observées incluent le balisage vers une infrastructure contrôlée par des acteurs, le déploiement de charges utiles de deuxième étape et, dans un petit nombre de cas, une “activité pratique sur le clavier”, selon CrowdStrike.
Les chercheurs en sécurité signalent que les attaquants ciblent à la fois les versions Windows et macOS de l’application VoIP compromise. À l’heure actuelle, il semble que les versions Linux, iOS et Android ne soient pas affectées.
Les chercheurs de SentinelOne ont déclaré avoir vu pour la première fois des signes d’activité malveillante le 22 mars et ont immédiatement enquêté sur les anomalies, ce qui a conduit à la découverte que certaines organisations tentaient d’installer une version trojanisée de l’application de bureau 3CX qui avait été signée avec un certificat numérique valide. L’expert en sécurité d’Apple, Patrick Wardle, a également trouvé qu’Apple avait notarié le logiciel malveillant, ce qui signifie que la société l’a vérifié à la recherche de logiciels malveillants et qu’aucun n’a été détecté.
Le RSSI de 3CX, Pierre Jourdan, a déclaré jeudi que l’entreprise était consciente d’un “problème de sécurité” impactant ses applications Windows et MacBook.
Jourdan note qu’il semble qu’il s’agisse d’une “attaque ciblée d’un pirate informatique Advanced Persistent Threat, peut-être même parrainé par l’État”. CrowdStrike suggère que l’acteur menaçant nord-coréen Labyrinth Chollima, un sous-groupe du notoire Lazarus Group, est à l’origine de l’attaque de la chaîne d’approvisionnement.
Pour contourner ce problème, la société 3CX invite ses clients à désinstaller l’application et à la réinstaller, ou à utiliser son client PWA. “En attendant, nous nous excusons abondamment pour ce qui s’est passé et nous ferons tout ce qui est en notre pouvoir pour réparer cette erreur », a déclaré Jourdan.
Il y a beaucoup de choses que nous ne savons pas encore sur l’attaque de la chaîne d’approvisionnement 3CX, y compris le nombre d’organisations potentiellement compromises. Selon Shodan.io, un site qui cartographie les appareils connectés à Internet, il existe actuellement plus de 240 000 systèmes de gestion téléphonique 3CX exposés publiquement.
