Victime d’un incident de sécurité ?

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

30/03/2023

Actualité

Alerte de sécurité – 3CX DesktopApp Supply-Chain Attack

L’application 3CXDesktopApp, publiée par l’éditeur 3CX, dans ses dernières versions est utilisée dans des attaques par « supply-chain ». Celle-ci a été récemment modifiée par des attaquants afin de servir de point de compromission sur les terminaux de ses utilisateurs.

Figure n°1 – Publication officielle de 3CX le 30 mars 2023 (source)

Impact identifié

Les versions compromises permettraient le lancement d’un terminal de commande par l’attaquant sur l’équipement compromis. Selon SentinelOne, la charge utile au bout de la chaine de compromission est un « infostealer » ciblant les navigateurs web (Chrome, Edge, Brave et Firefox) afin de récupérer les données utilisateurs et leur historique de navigation.

Ces informations peuvent être utilisées par la suite pour créer des campagnes de phishing ciblées ou encore récupérer les couples login/mot de passe ou des informations de cartes de crédits.

CrowdStrike attribue l’attaque à un groupe cybercriminel étatique. La charge utile finale ne serait donc téléchargée que pour certaines cibles dans le viseur du groupe cybercriminel en question. L’éditeur ne fournit pas plus d’éléments quant aux secteurs ciblés par le groupe.

Produits affectés

Les versions du produit Electron App affectés sont les suivantes :

  • Windows App version 18.12.407 et version 18.12.416.
  • Mac versions : 18.11.1213, 18.12.402, 18.12.407 et 18.12.416.

D’après les informations fournies par l’éditeur, en date de publication de cet article, uniquement les versions Windows et macOS de l’application de bureau sont concernées.

Investigation & Remédiation

Nous vous recommandons de mener une phase d’investigation et de remédiation si vous utilisez l’application 3CX sur votre système d’information. La phase d’investigation doit comporter les étapes suivantes :

  • Identifier le périmètre interne concerné par la potentielle infection et vérifier les numéros de versions.
  • Vérifier la présence de la charge utile de l’info-stealer et si des communications malveillantes ont eu lieu.
  • Réaliser une recherche des domaines de C2 connus au sein de vos évènements proxy.

Si votre solution, EPP, EDR ou XDR n’est pas en mesure d’identifier les traces laissées par la compromission d’un client bureautique 3CX DesktopApp, vous pouvez utiliser des outils gratuits et communautaires tels que Thor-Lite ou Loki avec les dernières bases de règles Yara.

Attention, il y a un délai de 7 jours, entre l’exécution du code malveillant et l’appel sur des serveurs C2 externes. Il est ainsi possible que vous n’ayez pas vu de communications malveillantes immédiatement bien que la version compromise soit installée sur votre parc.

Source : 3CX VoIP Software Compromise & Supply Chain Threats, publié par Huntress (30/03/2023)

Nous vous recommandons de désinstaller les applications Windows et Mac et d’utiliser l’application web à la place des versions bureautiques, le temps que 3CX identifie le périmètre d’infection, corrige les erreurs et publie une nouvelle version. 3CX indique que les futures versions de l’application auront un nouveau certificat de signature. De ce fait, nous vous recommandons de blacklister le certificat de signature des versions compromises.

Les éditeurs CrowdSrike et SentinelOne ont identifié certains des domaines utilisés dans cette campagne (liste disponible en fin d’article). Nous vous recommandons de bloquer les communications avec ces domaines.

Détection

Nous vous recommandons de déployer des règles de détection sur votre système d’information afin d’identifier des flux réseaux (IP, Domaine, URL) à destination des domaines, IP ou URL disponibles au sein de ce bulletin.

Nous vous recommandons de vous assurer que votre EPP, EDR ou XDR est capable de détecter ce type de menace en vous rapprochant de vos éditeurs. Si ce n’est pas le cas, nous vous conseillons de consulter les règles de détection communautaires disponibles (par exemple : lien) ou de vous rapprocher de votre SOC.

Infographie

Thomas Roccia (@fr0gger_) nous partage cette infographie via son compte Twitter qui reprend graphiquement la chaine de compromission observée (source) :

Ressources complémentaires

Pour toutes informations complémentaires, veuillez s’il vous plait vous référer aux ressources suivantes :

Indices de compromission

Domaines (Stage 1)

Domaine
Registrar
Creation Date
IP
IP AS
akamaicontainer[.]com
Namecheap
22/02/2022 01:29
162[.]0.229.159
22612
akamaitechcloudservices[.]com
Namecheap
04/01/2023 00:00
199[.]188.206.6
22612
azuredeploystore[.]com
Namesilo
07/12/2022 00:00
199[.]33.112.228
23498
azureonlinecloud[.]com
Namecheap
22/02/2022 00:13
198[.]54.115.169
22612
azureonlinestorage[.]com
PublicDomainRegistry
05/01/2023 00:00
91[.]235.116.231
51177
dunamistrd[.]com
Namecheap
06/12/2022 00:00
198[.]54.115.59
22612
glcloudservice[.]com
Namecheap
06/01/2023 00:00
198[.]54.125.101
22612
journalide[.]org
Namecheap
08/04/2022 02:33
172[.]93.201.88
20278
msedgepackageinfo[.]com
Namesilo
05/01/2023 00:00
185[.]38.151.11
25369
msstorageazure[.]com
Namecheap
17/11/2022 00:00
162[.]213.255.22
22612
msstorageboxes[.]com
Namecheap
09/12/2022 00:00
162[.]213.255.24
22612
officeaddons[.]com
Namecheap
09/12/2022 00:00
162[.]213.255.24
22612
officestoragebox[.]com
Namecheap
17/11/2022 00:00
162[.]213.255.23
22612
pbxcloudeservices[.]com
PublicDomainRegistry
23/12/2022 00:00
91[.]235.116.231
51177
pbxphonenetwork[.]com
Namesilo
25/12/2022 00:00
89[.]45.67.160
44901
pbxsources[.]com
Namecheap
04/01/2023 00:00
198[.]54.116.74
22612
qwepoi123098[.]com
Namecheap
17/11/2022 00:00
146[.]70.87.109
9009
sbmsa[.]wiki
Namecheap
09/02/2023 00:00
198[.]54.114.192
22612
sourceslabs[.]com
Enom
09/12/2022 00:00
185[.]244.151.84
60117
Soyoungjun[.]com
PublicDomainRegistry
19/10/2022 00:00
139[.]162.103.172
63949
visualstudiofactory[.]com
Namecheap
17/11/2022 00:00
162[.]213.255.24
22612
zacharryblogs[.]com
Namecheap
13/12/2022 00:00
198[.]54.115.118
22612

Binaires

Hash (sha-256 ou sha-1)
Filename
Signers
Thumbprint
5d99efa36f34aa6b43cd81e77544961 c5c8d692c96059fef92c2df2624550734
3CXDesktopApp.exe
3CX Ltd
87C6D553A296D7473451D53C AA298EFA9B4870AD
14075C5C8C373BE373E51DBE A7F6E5CD8087AB0A
3CXDesktopApp.exe
N/A
N/A
dde03348075512796241389dfea5560c 20a3d2a2eac95c894e7bbed5e85a0acc
3CXDesktopApp.exe
3CX Ltd
87C6D553A296D7473451D53CA A298EFA9B4870AD
fad482ded2e25ce9e1dd3d3ecc3227af7 14bdfbbde04347dbc1b21d6a3670405
3CXDesktopApp.exe
3CX Ltd
87C6D553A296D7473451D53CA A298EFA9B4870AD
92005051ae314d61074ed94a52e76b1c 3e21e7f0e8c1d1fdd497a006ce45fa61
3CX Desktop App (MacOS)
Non signé
Non signé
b86c695822013483fa4e2dfdf712c5ee7 77d7b99cbad8c2fa2274b133481eadb
3CX Desktop App (MacOS)
Non signé
Non signé
aa124a4b4df12b34e74ee7f6c683b2ebe c4ce9a8edcf9be345823b4fdcf5d868
3cxdesktopapp-18.12.407.msi
3CX Ltd
87C6D553A296D7473451D53 CAA298EFA9B4870AD
59e1edf4d82fae4978e97512b0331b7eb 21dd4b838b850ba46794d9c7a2c0983
3cxdesktopapp-18.12.416.msi
3CX Ltd
87C6D553A296D7473451D53 CAA298EFA9B4870AD
5407cda7d3a75e7b1e030b1f33337a56 f293578ffa8b3ae19c671051ed314290
3CXDesktopApp-18.11.1213.dmg
Non signé
Non signé
e6bbc33815b9f20b0cf832d7401dd893f bc467c800728b5891336706da0dbcec
3cxdesktopapp-latest.dmg
3CX
7DF5ED6D71B296ED073A5B 3EFBCDC4C916BA41BE
cad1120d91b812acafef71 75f949dd1b09c6c21a
InfoStealer
Non signé
Non signé
11be1803e2e307b647a8a7e02d128335 c448ff741bf06bf52b332e0bbf423b03
d3dcompiler_47.dll
Non signé
Non signé
7986bbaee8940da11ce089383521ab42 0c443ab7b15ed42aed91fd31ce833896
ffmpeg.dll
Non signé
Non signé

URL (Stage 1)

  • visualstudiofactory[.]com/workload
  • azuredeploystore[.]com/cloud/services
  • msstorageboxes[.]com/office
  • officeaddons[.]com/technologies
  • sourceslabs[.]com/downloads
  • zacharryblogs[.]com/feed
  • pbxcloudeservices[.]com/phonesystem
  • pbxphonenetwork[.]com/voip
  • akamaitechcloudservices[.]com/v2/storage
  • azureonlinestorage[.]com/azure/storage
  • msedgepackageinfo[.]com/microsoft-edge
  • glcloudservice[.]com/v1/console
  • pbxsources[.]com/exchange
  • msstorageazure[.]com/window
  • officestoragebox[.]com/api/session
  • msedgeupdate[.]net/Windows

URL (Stage 2)

  • github[.]com/IconStorages/images

L'équipe SOC CERT CWATCH

Voir les derniers Cybersecurity Insights et Actualités

4 December 2023
Nouvelles menaces cyber, nouvelles solutions : téléchargez le Threat Landscape 2022-2023 Almond !
Read more
1 December 2023
Cet évènement dédié à la sécurité de vos environnements Microsoft 365 est l’occasion de vous présenter les avancées produits et services mis à votre disposition pour répondre à vos besoins de protection contre les menaces permanentes qui pèsent sur vos systèmes d’information.
Read more
21 November 2023
Cet évènement dédié à la sécurité de vos environnements Microsoft 365 est l’occasion de vous présenter les avancées produits et services mis à votre disposition pour répondre à vos besoins de protection contre les menaces permanentes qui pèsent sur vos systèmes d’information.
Read more
21 November 2023
Nouvelles menaces cyber, nouvelles solutions : téléchargez le Threat Landscape 2022-2023 Almond !
Read more
13 November 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
Read more
19 October 2023
Nouvelles menaces cyber, nouvelles solutions : téléchargez le Threat Landscape 2022-2023 Almond !
Read more
11 October 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
Read more
5 October 2023
Nouvelles menaces cyber, nouvelles solutions : téléchargez le Threat Landscape 2022-2023 Almond !
Read more
30 August 2023
Cette année encore, Almond est présent au Forum International de la Cybersécurité à Lille du 5 au 7 avril prochain, et animera un FIC Talk le jeudi 6 avril.
Read more
29 June 2023
Almond, société experte en cybersécurité avec la réalisation de plus d’une centaine d’audits de maturité cyber pour les PME, vous accompagne dans les premiers pas essentiels de sécurisation de votre entreprise pour vous protéger des risques cyber, avec le Diag Cybersécurité de Bpifrance.
Read more
The crew
Cyber Security
Secure Cloud &
Digital Technology
Almond Institute
News
Join us
We are HIRING
Contactez-nous
Twitter Linkedin Facebook Youtube Instagram
Paris_
STRASBOURG_
NANTES_
RENNES_
LYON_
GENÈVE_
MOVE
FORWARD
WE'LL
WATCH
YOUR
BACK
Politique de confidentialité
Gestion des cookies
© 2023 Almond. Tous droits réservés.
Twitter Linkedin Facebook Youtube Instagram
Twitter Linkedin Facebook Youtube Instagram

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Laïus explicatif : L’ISO 27001 est une norme internationale, dont les entreprises peuvent se prévaloir en se faisant certifier par un organisme indépendant ; elle contient un ensemble d’exigences que chaque entreprise, quels que soient sa taille et son domaine d’activité, doit impérativement appliquer pour obtenir sa certification ; ses exigences constituent donc le référentiel des audits de certification. A ne pas confondre avec la norme ISO 27002 qui est constituée de recommandations, basées sur les bonnes pratiques internationales, permettant d’aider une entreprise à appliquer les exigences de la norme ISO 27001 (donc norme qui ne donne pas lieu à une certification).

Les exigences de la norme ISO 27001 portent sur les informations nécessaires à une entreprise, recueillies et/ou traitées, quel que soit son support, électronique, papier et oral.

Les trois critères de sécurité retenus par la norme ISO 27001 sont la confidentialité, l’intégrité et la disponibilité des informations. Tout événement, qu’il soit d’origine environnementale ou humaine, intentionnelle ou involontaire, impactant un de ces trois critères, relève de cette norme.

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Laïus explicatif : Une attaque DDoS ou “Distributed Denial of Service” est une attaque visant à rendre indisponible un site en le submergeant de requêtes provenant de multiples sources. Dans le cas où toutes les requêtes proviennent de la même source, on parle simplement d’attaque DoS (« Denial of Service »), ou « par déni de service ».

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Laïus explicatif : DORA ou Digital Operational Resilience Act est un règlement européen publié en 2022 et en vigueur depuis janvier 2023. Le règlement traite de la résilience opérationnelle numérique du secteur financier. Il est applicable aux entités financières comme les banques, assurances, entreprises d’investissement, les établissements de paiement, etc. mais également aux tiers prestataires de services informatiques. Les entreprises concernées ont deux ans pour se mettre en conformité. Ils devront donc l’être en 2025 !

Le pilier relatif à la gestion des risques liés aux prestataires tiers de services TIC apparait comme l’un des plus difficile à mettre en place et à maintenir dans le temps pour les entreprises concernées. En quelques mots, les entreprises devront considérer ces risques comme faisant partie intégrante du risque lié aux technologies de l’information et de la communication (TIC) et notamment le risque de concentration, au niveau de l’entreprise mais également au niveau de l’ensemble du secteur financier européen. En effet, les autorités devront analyser ce risque en analysant les registres tenus et communiqués par les entreprises concernées par DORA et qui recense notamment la liste des tiers prestataires de services TIC avec lesquelles les entités financières conclues des contrats.

Pour plus d’informations, consultez notre avis d’expert sur le sujet : https://almond.eu/cybersecurity-insights/explorons-dora/