La société 3CX, éditrice de la solution éponyme, a été la cible d’une cyberattaque visant sa solution Electron pour Windows et Mac. Plusieurs versions légitimes des applications de VoIP 3CX DesktopApp Electron ont été compromises et sont activement exploitées. Les versions 18.12.407 et 18.12.416 de 3CX DesktopApp Electron pour Windows sont concernées ainsi que les versions 18.11.1213, 18.12.402, 18.12.407 et 18.12.416 pour macOS.

Fondée à Chypre en 2005, 3CX compte plus de 12 millions d’utilisateurs finaux chez environ 600 000 clients. Parmi les entreprises multinationales faisant partie de sa liste de clients, on peut citer Air France, American Express, Carlsberg, Coca-Cola, Hilton, Honda, Ikea, PwC, Renault et Toyota. Tous sont concernés par cette attaque qui compromet leur logiciel client 3CX pour Windows et macOS.

Le vecteur d’attaque a été identifié : il s’agit de la bibliothèque groupée que la société a compilée dans l’application Windows Electron via Github. La bibliothèque en question a été contactée par des domaines malveillants, la plupart ayant été signalés et pris en charge.

Les EDR comme SentinelOne, Palo Alto Cortex, Eset, Sophos, SonicWall et CrowdStrike ont commencé à relever des anomalies dès les premières heures de l’attaque. Cependant, les équipes de 3CX reprochaient initialement aux éditeurs de solutions de protection des postes de travail de produire des faux positifs.

Un malware capable de collecter les données Web

Les conséquences de cette attaque peuvent être désastreuses pour les entreprises utilisant la solution de 3CX, car elle permet à un attaquant de déployer des logiciels malveillants à distance. SentinelOne a identifié une campagne malveillante surnommée « Smooth Operator », qui utilise notamment un logiciel dérobeur, un infostealer, capable de collecter les données enregistrées dans les navigateurs Web Chrome, Edge, Brave et Firefox. L’activité post-exploitation la plus courante observée à ce jour est la création d’un shell de commande dynamique.

L’attaque supply chain débute lorsque le programme d’installation MSI est téléchargé depuis le site Web de 3CX ou lorsqu’une mise à jour est poussée vers une application de bureau déjà installée. Lors de l’installation, deux fichiers DLL malveillants, ffmpeg.dll et d3dcompiler_47.dll, sont extraits. Cependant, selon Sophos, l’exécutable 3CXDesktopApp.exe n’est pas malveillant, mais la DLL malveillante ffmpeg.dll sera chargée de manière latérale et utilisée pour extraire et décrypter une charge utile chiffrée à partir de d3dcompiler_47.dll.

Le shellcode décrypté de d3dcompiler_47.dll sera ensuite exécuté pour télécharger des fichiers d’icônes hébergés sur GitHub qui contiennent des chaînes encodées Base64 ajoutées à la fin de l’image. Ces chaînes Base64 sont utilisées par le logiciel malveillant pour télécharger une charge utile finale sur les terminaux compromis. Cette charge utile permet de lister des informations systèmes et d’aspirer des données et des informations d’identification stockées dans les profils d’utilisateurs de Chrome, Edge, Brave et Firefox.

SentinelOne n’a pas confirmé si le programme d’installation pour Mac est également porteur du trojan. Cependant, l’enquête en cours porte sur d’autres applications comme l’extension Chrome, qui pourrait également être utilisée pour organiser des attaques. Pour aider dans l’enquête, 3CX a annoncé travailler avec les équipes cybersécurité de Mandiant (Google).

La Corée du Nord soupçonnée

CrowdStrike a identifié l’acteur responsable de cette attaque, le groupe nord-coréen soutenu par l’État, nommé Labyrinth Chollima, qui est soupçonné d’avoir des liens avec le groupe Lazarus. Huntress a également trouvé un artefact caché dans le code malveillant, connu pour être attribué à ces acteurs de la menace.

Sophos, contrairement à CrowdStrike, ne semble pas certain que le groupe nord-coréen soit responsable de l’attaque. Bien que Labyrinth Collima ait été associé à d’autres groupes de cybercriminels tels que Lazarus Group.

Une menace pour les grands groupes mais surtout pour les PME

Cette attaque touche non seulement les grandes entreprises, mais aussi les organisations de taille plus modeste utilisant les solutions de cette société. Ces dernières sont souvent moins bien préparées pour faire face à ce type de menace, ce qui rend leur situation d’autant plus préoccupante. Les cybercriminels peuvent facilement profiter de cette vulnérabilité pour accéder aux systèmes de ces organisations et y voler des données sensibles, telles que des informations d’identification ou des données financières.

En France, par exemple, environ 1 800 organisations disposent d’un sous-domaine sur les noms de domaines on3cx.fr, my3cx.fr ou 3cx.fr. Parmi ces organisations, nous retrouvons des artisans, des cabinets d’avocats, des syndicats, des établissements scolaires et bien d’autres encore. Si ces organisations ne prennent pas les mesures appropriées pour se protéger contre cette menace, elles risquent de subir des pertes financières importantes, ainsi qu’une atteinte à leur réputation et à la confiance de leurs clients et partenaires. Il est donc essentiel que toutes les organisations utilisant les solutions de 3CX soient informées de cette menace et prennent les mesures nécessaires pour se protéger contre elle.

Dans un communiqué, 3CX a présenté ses excuses à ses partenaires et clients pour cette situation critique, qui a un impact direct sur leur sécurité. La société travaille actuellement à la mise à jour de leur client Windows pour éliminer cette menace. En attendant, les utilisateurs peuvent utiliser le client web (PWA) comme alternative. Toutefois, il est essentiel que les entreprises concernées prennent des mesures de sécurité supplémentaires pour protéger leurs données.