3CX Attaque de la chaîne d’approvisionnement

Une nouvelle attaque de la chaîne d'approvisionnement affecte l'application de téléphonie logicielle 3CX, qui compte des millions d'utilisateurs dans le monde. Dans cet article, l'équipe Jamf Threat Labs explique comment l'application a été compromise, quels sont les effets et comment détecter l'infection sur votre réseau.

Mars 31 2023 Par

Jamf Threat Labs

Wrench stuck between cogs, causing friction.

Le 29 mars 2023, Jamf Threat Labs et plusieurs autres fournisseurs ont observé une attaque ciblée baptisée Smoothoperator. Elle cible l'application de bureau 3CX, une application de softphone de 3CX qui compte des millions d'utilisateurs dans le monde. Des acteurs malveillants émanant d'États-nations ont ciblé 3CX dans le cadre d'une attaque de la chaîne d'approvisionnement. Plusieurs versions de l'application sont touchées.

Sur macOS, ces versions contenaient une dylib malveillante nommée libffmpeg. dylib. Chargée de façon dynamique lors de l'exécution, elle effectue un certain nombre d'opérations sur les systèmes des victimes. Pour protéger nos clients, l'équipe Jamf Threat Labs a immédiatement pris des mesures contre cette menace en bloquant l'exécution des applications compromises ainsi que les connexions à des domaines malveillants connus et associés à l'attaque.

Par son étendue et son degré de sophistication, l'attaque de la chaîne d'approvisionnement 3CX constitue une menace sérieuse pour la sécurité de macOS. L'attaque a tiré parti de la confiance établie par l'application originale : les versions infectées ont été déployées par le biais des procédures de mise à jour habituelles. Au moment de notre analyse initiale, l'application de bureau 3CX compromise était signée par 3CX et notariée par Apple sous le teamid 33CF4654HL. Son exécution sur le système d'exploitation était donc autorisée. Apple a depuis révoqué le code notarié.

La dylib malveillante libffmpeg.dylib contient diverses techniques, notamment des chaînes XOR, qui rendent l'analyse statique difficile. Certaines de ces chaînes XOR (mentionnée dans la section sur les indicateurs de compromission) sont utilisées pour créer divers fichiers dans le chemin ~/Bibliothèque/Application Support/3CX Desktop App/. Dans les chaînes XOR figurent des noms de domaine qui sont également intégrés dans la dylib malveillante.

Le logiciel malveillant recueille des informations sur l'hôte de la victime, notamment la version de l'OS et le nom de la machine. Elles sont ensuite écrites dans un fichier chiffré intitulé .main_storage. En dernière étape, il se connecte aux systèmes de commande et contrôle (C2) de l'attaquant pour demander une charge utile de deuxième niveau, nommée UpdateAgent, située dans le même répertoire d'Application Support. Pour une analyse technique approfondie du logiciel malveillant Smoothoperator, consultez le blog de Patrick Wardle.

Jamf vous protège contre les versions compromises connues de l'application 3CX, mais aussi contre le composant de deuxième niveau. Nos clients peuvent surveiller leur environnement à l'aide des règles de prévention des menaces C3x, Smoothoperator ou smoothoperator_a.

Nous mettrons à jour cet article dès que nous aurons plus d'informations sur cette nouvelle menace.

Indicators of Compromise - Known File Paths ~/Library/Application Support/3CX Desktop App/UpdateAgent ~/Library/Application Support/3CX Desktop App/.main_storage ~/Library/Application Support/3CX Desktop App/.session-lock ~/Library/Application Support/3CX Desktop App/config.json

For those wanting to completely block all versions of this application from their environment can use Jamf Protect threat prevention to block the developer ID: TEAMID: 33CF4654HL Known macOS Compromised Versions of 3CX f3487a1324f4c11b35504751a5527bc60eb95382 e8d14c5b3bb4290fb028504efac8cfee0bfd15b5 2abc98e004dc5ebb426a3611d7b4a1c2d1c939bd 5d833bcc679db38a45111269e727ec58b75c8d31 7e75f141ef1a623f9f52999aabc52419f59d0c00 32aa8af32b51cff9d6014eee9da9987ebb464aae libffmpeg.dylib (First-stage) 769383fc65d1386dd141c960c9970114547da0c2 UpdateAgent (Second-stage) 9e9a5f8d86356796162cee881c843cde9eaedfb3

C2 Domains akamaitechcloudservices[.]com/v2/fileapi azuredeploystore[.]com/cloud/images azureonlinestorage[.]com/google/storage glcloudservice[.]com/v1/status msedgepackageinfo[.]com/ms-webview msstorageboxes[.]com/xbox officeaddons[.]com/quality officestoragebox[.]com/api/biosync pbxcloudeservices[.]com/network pbxphonenetwork[.]com/phone pbxsources[.]com/queue sourceslabs[.]com/status visualstudiofactory[.]com/groupcore www.3cx[.]com/blog/event-trainings/ zacharryblogs[.]com/xmlquery sbmsa[.]wiki/blog/_insert

References: First-stage analysis https://objective-see.org/blog/blog_0x73.html Second-stage analysis https://twitter.com/patrickwardle/status/1641721723417657345?s=46&t=9i_mTDPwmhlMXxmMwdFhoQ https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/ https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/

Les menaces émergentes n'ont rien de nouveau pour Jamf Threat Labs.

Les clients de Jamf Protect peuvent être sûrs d'une chose : leurs terminaux sont protégés contre les nouvelles formes d'attaque.

Obtenir Protect

S’abonner au blog de Jamf

Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.

Adresse e-mail (professionnelle)

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.

Étiquettes: