Le 29 mars 2023, Jamf Threat Labs et plusieurs autres fournisseurs ont observé une attaque ciblée baptisée Smoothoperator. Elle cible l'application de bureau 3CX, une application de softphone de 3CX qui compte des millions d'utilisateurs dans le monde. Des acteurs malveillants émanant d'États-nations ont ciblé 3CX dans le cadre d'une attaque de la chaîne d'approvisionnement. Plusieurs versions de l'application sont touchées.
Sur macOS, ces versions contenaient une dylib malveillante nommée libffmpeg. dylib. Chargée de façon dynamique lors de l'exécution, elle effectue un certain nombre d'opérations sur les systèmes des victimes. Pour protéger nos clients, l'équipe Jamf Threat Labs a immédiatement pris des mesures contre cette menace en bloquant l'exécution des applications compromises ainsi que les connexions à des domaines malveillants connus et associés à l'attaque.
Par son étendue et son degré de sophistication, l'attaque de la chaîne d'approvisionnement 3CX constitue une menace sérieuse pour la sécurité de macOS. L'attaque a tiré parti de la confiance établie par l'application originale : les versions infectées ont été déployées par le biais des procédures de mise à jour habituelles. Au moment de notre analyse initiale, l'application de bureau 3CX compromise était signée par 3CX et notariée par Apple sous le teamid 33CF4654HL. Son exécution sur le système d'exploitation était donc autorisée. Apple a depuis révoqué le code notarié.
La dylib malveillante libffmpeg.dylib contient diverses techniques, notamment des chaînes XOR, qui rendent l'analyse statique difficile. Certaines de ces chaînes XOR (mentionnée dans la section sur les indicateurs de compromission) sont utilisées pour créer divers fichiers dans le chemin ~/Bibliothèque/Application Support/3CX Desktop App/. Dans les chaînes XOR figurent des noms de domaine qui sont également intégrés dans la dylib malveillante.
Le logiciel malveillant recueille des informations sur l'hôte de la victime, notamment la version de l'OS et le nom de la machine. Elles sont ensuite écrites dans un fichier chiffré intitulé .main_storage. En dernière étape, il se connecte aux systèmes de commande et contrôle (C2) de l'attaquant pour demander une charge utile de deuxième niveau, nommée UpdateAgent, située dans le même répertoire d'Application Support. Pour une analyse technique approfondie du logiciel malveillant Smoothoperator, consultez le blog de Patrick Wardle.
Jamf vous protège contre les versions compromises connues de l'application 3CX, mais aussi contre le composant de deuxième niveau. Nos clients peuvent surveiller leur environnement à l'aide des règles de prévention des menaces C3x, Smoothoperator ou smoothoperator_a.
Nous mettrons à jour cet article dès que nous aurons plus d'informations sur cette nouvelle menace.
Les menaces émergentes n'ont rien de nouveau pour Jamf Threat Labs.
Les clients de Jamf Protect peuvent être sûrs d'une chose : leurs terminaux sont protégés contre les nouvelles formes d'attaque.
par catégorie :
Recevez directement dans votre boîte mail les tendances du marché informatique, les mises à jour Apple et les actualités Jamf.
Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.