Quelques jours après l'effroyable cyberattaque, de nouveaux détails sur l'incident de 3CX font surface en ligne, Mandiant dévoilant ses investigations. Comme cela a été révélé, la cyberattaque sur les systèmes de 3CX était liée à une autre attaque de la chaîne d'approvisionnement sur une entreprise distincte.
Mise à jour sur la cyberattaque de 3CX : Mandiant dévoile ses investigations
Après avoir enquêté pendant des semaines, la société de cybersécurité Mandiant a fait part de ses observations sur ce qui s'est passé avec 3CX.
Comme elle l'a révélé dans son billet, son équipe a pu établir un lien entre la cyberattaque de 3CX et une autre attaque de la chaîne d'approvisionnement qui a touché Trading Technologies Inc.
Bien que les chercheurs aient partagé l'analyse technique détaillée du logiciel malveillant, la chronologie de l'incident et le déroulement de l'attaque dans leur article, en voici un bref aperçu.
Plus précisément, 3CX a attrapé le logiciel malveillant à partir d'une version trojanisée de l'installateur de logiciel X_TRADER de Trading Technologies. L'analyse du logiciel malveillant a permis à Mandiant de découvrir la porte dérobée VEILEDSIGNAL intégrée qui a exécuté l'attaque.
La porte dérobée modulaire a exécuté l'attaque par étapes, en téléchargeant des DLL malveillantes et d'autres charges utiles. Parallèlement à cette porte dérobée, deux autres modules ont ajouté à sa fonctionnalité en fournissant une injection C2 dans le processus et en écoutant les communications Windows.
Le logiciel malveillant s'est infiltré dans le réseau 3CX par le biais de cette application Trading Technologies, après quoi les attaquants se sont répandus latéralement dans le réseau 3CX. Au cours de ce processus, les attaquants ont continué à collecter des informations d'identification et ont compromis les systèmes Windows et macOS, en déployant des DLL malveillantes et des portes dérobées.
En remontant l'activité du logiciel malveillant UNC4736, les chercheurs ont déduit qu'un acteur nord-coréen était à l'origine de l'attaque.
Au début du mois, 3CX a admis avoir subi une terrible cyberattaque sur son réseau, qui a également touché ses clients. Il s'est avéré que les attaquants ont exploité l'application de l'entreprise pour diffuser des mises à jour malveillantes aux clients.
À l'époque, 3CX a confirmé avoir engagé Mandiant pour enquêter sur la cyberattaque, et maintenant, la société de sécurité a partagé la mise à jour.
Si 3CX est devenu un indicateur puissant de l'attaque de la chaîne d'approvisionnement de Trading Technologies, les chercheurs soupçonnent qu'il y ait d'autres entreprises victimes. Mais il se peut qu'elles n'aient pas encore remarqué et signalé la compromission de leurs réseaux.
Faites-nous part de votre avis dans les commentaires.
