Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

30/03/2023

Actualité

Alerte de sécurité – 3CX DesktopApp Supply-Chain Attack

L’application 3CXDesktopApp, publiée par l’éditeur 3CX, dans ses dernières versions est utilisée dans des attaques par « supply-chain ». Celle-ci a été récemment modifiée par des attaquants afin de servir de point de compromission sur les terminaux de ses utilisateurs.

Figure n°1 – Publication officielle de 3CX le 30 mars 2023 (source)

Impact identifié

Les versions compromises permettraient le lancement d’un terminal de commande par l’attaquant sur l’équipement compromis. Selon SentinelOne, la charge utile au bout de la chaine de compromission est un « infostealer » ciblant les navigateurs web (Chrome, Edge, Brave et Firefox) afin de récupérer les données utilisateurs et leur historique de navigation.

Ces informations peuvent être utilisées par la suite pour créer des campagnes de phishing ciblées ou encore récupérer les couples login/mot de passe ou des informations de cartes de crédits.

CrowdStrike attribue l’attaque à un groupe cybercriminel étatique. La charge utile finale ne serait donc téléchargée que pour certaines cibles dans le viseur du groupe cybercriminel en question. L’éditeur ne fournit pas plus d’éléments quant aux secteurs ciblés par le groupe.

Produits affectés

Les versions du produit Electron App affectés sont les suivantes :

  • Windows App version 18.12.407 et version 18.12.416.
  • Mac versions : 18.11.1213, 18.12.402, 18.12.407 et 18.12.416.

D’après les informations fournies par l’éditeur, en date de publication de cet article, uniquement les versions Windows et macOS de l’application de bureau sont concernées.

Investigation & Remédiation

Nous vous recommandons de mener une phase d’investigation et de remédiation si vous utilisez l’application 3CX sur votre système d’information. La phase d’investigation doit comporter les étapes suivantes :

  • Identifier le périmètre interne concerné par la potentielle infection et vérifier les numéros de versions.
  • Vérifier la présence de la charge utile de l’info-stealer et si des communications malveillantes ont eu lieu.
  • Réaliser une recherche des domaines de C2 connus au sein de vos évènements proxy.

Si votre solution, EPP, EDR ou XDR n’est pas en mesure d’identifier les traces laissées par la compromission d’un client bureautique 3CX DesktopApp, vous pouvez utiliser des outils gratuits et communautaires tels que Thor-Lite ou Loki avec les dernières bases de règles Yara.

Attention, il y a un délai de 7 jours, entre l’exécution du code malveillant et l’appel sur des serveurs C2 externes. Il est ainsi possible que vous n’ayez pas vu de communications malveillantes immédiatement bien que la version compromise soit installée sur votre parc.

Source : 3CX VoIP Software Compromise & Supply Chain Threats, publié par Huntress (30/03/2023)

Nous vous recommandons de désinstaller les applications Windows et Mac et d’utiliser l’application web à la place des versions bureautiques, le temps que 3CX identifie le périmètre d’infection, corrige les erreurs et publie une nouvelle version. 3CX indique que les futures versions de l’application auront un nouveau certificat de signature. De ce fait, nous vous recommandons de blacklister le certificat de signature des versions compromises.

Les éditeurs CrowdSrike et SentinelOne ont identifié certains des domaines utilisés dans cette campagne (liste disponible en fin d’article). Nous vous recommandons de bloquer les communications avec ces domaines.

Détection

Nous vous recommandons de déployer des règles de détection sur votre système d’information afin d’identifier des flux réseaux (IP, Domaine, URL) à destination des domaines, IP ou URL disponibles au sein de ce bulletin.

Nous vous recommandons de vous assurer que votre EPP, EDR ou XDR est capable de détecter ce type de menace en vous rapprochant de vos éditeurs. Si ce n’est pas le cas, nous vous conseillons de consulter les règles de détection communautaires disponibles (par exemple : lien) ou de vous rapprocher de votre SOC.

Infographie

Thomas Roccia (@fr0gger_) nous partage cette infographie via son compte Twitter qui reprend graphiquement la chaine de compromission observée (source) :

Indices de compromission

Domaines (Stage 1)

Domaine
Registrar
Creation Date
IP
IP AS
akamaicontainer[.]com
Namecheap
22/02/2022 01:29
162[.]0.229.159
22612
akamaitechcloudservices[.]com
Namecheap
04/01/2023 00:00
199[.]188.206.6
22612
azuredeploystore[.]com
Namesilo
07/12/2022 00:00
199[.]33.112.228
23498
azureonlinecloud[.]com
Namecheap
22/02/2022 00:13
198[.]54.115.169
22612
azureonlinestorage[.]com
PublicDomainRegistry
05/01/2023 00:00
91[.]235.116.231
51177
dunamistrd[.]com
Namecheap
06/12/2022 00:00
198[.]54.115.59
22612
glcloudservice[.]com
Namecheap
06/01/2023 00:00
198[.]54.125.101
22612
journalide[.]org
Namecheap
08/04/2022 02:33
172[.]93.201.88
20278
msedgepackageinfo[.]com
Namesilo
05/01/2023 00:00
185[.]38.151.11
25369
msstorageazure[.]com
Namecheap
17/11/2022 00:00
162[.]213.255.22
22612
msstorageboxes[.]com
Namecheap
09/12/2022 00:00
162[.]213.255.24
22612
officeaddons[.]com
Namecheap
09/12/2022 00:00
162[.]213.255.24
22612
officestoragebox[.]com
Namecheap
17/11/2022 00:00
162[.]213.255.23
22612
pbxcloudeservices[.]com
PublicDomainRegistry
23/12/2022 00:00
91[.]235.116.231
51177
pbxphonenetwork[.]com
Namesilo
25/12/2022 00:00
89[.]45.67.160
44901
pbxsources[.]com
Namecheap
04/01/2023 00:00
198[.]54.116.74
22612
qwepoi123098[.]com
Namecheap
17/11/2022 00:00
146[.]70.87.109
9009
sbmsa[.]wiki
Namecheap
09/02/2023 00:00
198[.]54.114.192
22612
sourceslabs[.]com
Enom
09/12/2022 00:00
185[.]244.151.84
60117
Soyoungjun[.]com
PublicDomainRegistry
19/10/2022 00:00
139[.]162.103.172
63949
visualstudiofactory[.]com
Namecheap
17/11/2022 00:00
162[.]213.255.24
22612
zacharryblogs[.]com
Namecheap
13/12/2022 00:00
198[.]54.115.118
22612

Binaires

Hash (sha-256 ou sha-1)
Filename
Signers
Thumbprint
5d99efa36f34aa6b43cd81e77544961 c5c8d692c96059fef92c2df2624550734
3CXDesktopApp.exe
3CX Ltd
87C6D553A296D7473451D53C AA298EFA9B4870AD
14075C5C8C373BE373E51DBE A7F6E5CD8087AB0A
3CXDesktopApp.exe
N/A
N/A
dde03348075512796241389dfea5560c 20a3d2a2eac95c894e7bbed5e85a0acc
3CXDesktopApp.exe
3CX Ltd
87C6D553A296D7473451D53CA A298EFA9B4870AD
fad482ded2e25ce9e1dd3d3ecc3227af7 14bdfbbde04347dbc1b21d6a3670405
3CXDesktopApp.exe
3CX Ltd
87C6D553A296D7473451D53CA A298EFA9B4870AD
92005051ae314d61074ed94a52e76b1c 3e21e7f0e8c1d1fdd497a006ce45fa61
3CX Desktop App (MacOS)
Non signé
Non signé
b86c695822013483fa4e2dfdf712c5ee7 77d7b99cbad8c2fa2274b133481eadb
3CX Desktop App (MacOS)
Non signé
Non signé
aa124a4b4df12b34e74ee7f6c683b2ebe c4ce9a8edcf9be345823b4fdcf5d868
3cxdesktopapp-18.12.407.msi
3CX Ltd
87C6D553A296D7473451D53 CAA298EFA9B4870AD
59e1edf4d82fae4978e97512b0331b7eb 21dd4b838b850ba46794d9c7a2c0983
3cxdesktopapp-18.12.416.msi
3CX Ltd
87C6D553A296D7473451D53 CAA298EFA9B4870AD
5407cda7d3a75e7b1e030b1f33337a56 f293578ffa8b3ae19c671051ed314290
3CXDesktopApp-18.11.1213.dmg
Non signé
Non signé
e6bbc33815b9f20b0cf832d7401dd893f bc467c800728b5891336706da0dbcec
3cxdesktopapp-latest.dmg
3CX
7DF5ED6D71B296ED073A5B 3EFBCDC4C916BA41BE
cad1120d91b812acafef71 75f949dd1b09c6c21a
InfoStealer
Non signé
Non signé
11be1803e2e307b647a8a7e02d128335 c448ff741bf06bf52b332e0bbf423b03
d3dcompiler_47.dll
Non signé
Non signé
7986bbaee8940da11ce089383521ab42 0c443ab7b15ed42aed91fd31ce833896
ffmpeg.dll
Non signé
Non signé

URL (Stage 1)

  • visualstudiofactory[.]com/workload
  • azuredeploystore[.]com/cloud/services
  • msstorageboxes[.]com/office
  • officeaddons[.]com/technologies
  • sourceslabs[.]com/downloads
  • zacharryblogs[.]com/feed
  • pbxcloudeservices[.]com/phonesystem
  • pbxphonenetwork[.]com/voip
  • akamaitechcloudservices[.]com/v2/storage
  • azureonlinestorage[.]com/azure/storage
  • msedgepackageinfo[.]com/microsoft-edge
  • glcloudservice[.]com/v1/console
  • pbxsources[.]com/exchange
  • msstorageazure[.]com/window
  • officestoragebox[.]com/api/session
  • msedgeupdate[.]net/Windows

URL (Stage 2)

  • github[.]com/IconStorages/images

L'équipe SOC CERT CWATCH

Voir les derniers Cybersecurity Insights et Actualités

2 juin 2023
Le 24 mai 2023, le gouvernement Américain a publiquement attribué à la Chine une série d’attaques ciblant des infrastructures critiques situées aux États-Unis ainsi que sur l’île de Guam.
26 mai 2023
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
9 mai 2023
Cette année encore, Almond est présent au Forum International de la Cybersécurité à Lille du 5 au 7 avril prochain, et animera un FIC Talk le jeudi 6 avril.
4 mai 2023
Après quelques rappels de la Directive NIS 1, l'article présentera les évolutions attendues avec l'adoption de la Directive NIS 2 et sa date d'entrée en vigueur.
4 mai 2023
Cet article a pour objet de présenter les enjeux liés à la protection des données personnelles auxquels les régies publicitaires sont confrontées, et de présenter un processus de mise en conformité pour répondre à ces enjeux.
3 mai 2023
L'objet de cette fiche vise à vous aider à réaliser la transition vers un outil de mesure d'audience conforme au RGPD.
28 avril 2023
Le terme APT, Advanced Persistant Threat, désigne un type d’attaque perpétré par des groupes professionnels, opérant dans des structures banalisées, pilotées et financées par des États.
24 avril 2023
Cet article vise à présenter l’état du droit actuel de l’encadrement de l’intelligence artificielle par l’IA ACT. Comment les droits et les libertés des personnes physiques sont-ils garantis ?
21 avril 2023
Découvrez le podcast d'Anass Rouass, Campus Manager chez Almond.
18 avril 2023
Alors que la loi d’orientation et de programmation du ministère de l’Intérieur (ou LOPMI), a été adoptée le 24 janvier 2023, les débats parlementaires qui l’ont animée ont fortement relancé la question de l’assurabilité des rançongiciels, mais aussi de leurs paiements toujours plus nombreux en France.