Une version trojanisée du populaire logiciel de système téléphonique VOIP/PBX 3CX fait actuellement la une des journaux. Le système téléphonique d'entreprise est utilisé par des entreprises dans 190 pays à travers le monde. Un programme d'installation comprenant un cheval de Troie est imposé aux utilisateurs de Windows via une attaque de chargement latéral de DLL.
L'attaque semble avoir été une attaque de la chaîne d'approvisionnement, qui a permis aux attaquants d'ajouter un programme d'installation d'application de bureau qui a finalement chargé une charge utile chiffrée malveillante via une DLL.
Le système téléphonique attaque secrètement
Mat Gangwer, VP Managed Threat Response chez Sophos sur la situation actuelle : « Les attaquants ont réussi à manipuler l'application pour ajouter un programme d'installation qui utilise le chargement latéral de DLL. C'est par cette porte dérobée qu'une charge utile malveillante et cryptée est finalement récupérée. Cette tactique n'est pas nouvelle, elle est similaire à l'activité de chargement de DLL utilisée dans d'autres attaques. Nous avons identifié trois des composants critiques de ce scénario de chargement latéral de DLL. »
Le logiciel concerné 3CX est un système téléphonique PBX logiciel légitime disponible sur Windows, Linux, Android et iOS. Actuellement, seuls les systèmes Windows semblent être affectés par l'attaque. L'application a été abusée par les attaquants pour ajouter un programme d'installation qui communique avec divers serveurs de commande et de contrôle (C2). L'attaque actuelle est une version signée numériquement du client de bureau softphone pour Windows qui contient une charge utile malveillante. L'activité la plus fréquemment observée jusqu'à présent après l'exploitation de la vulnérabilité est l'activation d'une interface de ligne de commande interactive (shell de commande).
Système téléphonique PBX pour Windows
Sophos MDR a identifié pour la première fois une activité malveillante ciblant ses propres clients provenant de 29CXDesktopApp le 2023 mars 3. De plus, Sophos MDR a déterminé que l'attaque utilisait un stockage de fichiers public pour héberger des logiciels malveillants chiffrés. Ce référentiel est utilisé depuis le 8 décembre 2022.
"L'attaque elle-même est basée sur un scénario de chargement latéral de DLL avec un nombre remarquable de composants impliqués", explique Matt Gangwer. "Cela visait probablement à garantir que les clients puissent utiliser le pack de bureau 3CX sans rien remarquer d'inhabituel."
À ce jour, Sophos a identifié les composants clés suivants de l'attaque :
- 3CXDesktopApp.exe, le chargeur propre
- d3dcompiler_47.dll, une DLL avec une charge utile chiffrée attachée
- ffmpeg.dll, le chargeur malveillant infecté par un cheval de Troie
Le fichier ffmpeg.dll contient une URL intégrée qui récupère une charge utile ICO codée de manière malveillante. Dans un scénario normal de chargement latéral de DLL, le chargeur malveillant (ffmpeg.dll) remplacerait l'application légitime ; sa seule fonction serait de mettre en file d'attente la charge utile. Dans ce cas, cependant, le chargeur est entièrement fonctionnel comme il le serait normalement dans le produit 3CX - une charge utile supplémentaire est injectée dans la fonction DllMain en remplacement. Bien que cela augmente la taille des paquets, cela peut avoir réduit les soupçons des utilisateurs que quelque chose n'allait pas, car l'application 3CX fonctionne comme prévu - même lorsque le cheval de Troie s'adresse à la balise C2.
Vu, reconnu, bloqué
Les SophosLabs ont bloqué les domaines malveillants et publié la détection de terminal suivante : Troj/Loader-AF. De plus, la liste des domaines C2 connus associés à la menace a été bloquée. Ceci est complété dans le fichier IOC sur le Sophos GitHub. Enfin, le fichier malveillant ffmpeg.dll est signalé comme ayant une mauvaise réputation.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.