Accueil Hacking News Les conséquences d’une nouvelle attaque de la chaîne d’approvisionnement

Les conséquences d’une nouvelle attaque de la chaîne d’approvisionnement

205
0

Quelques jours après l'effroyable , de nouveaux détails sur l'incident de 3CX font surface en ligne, Mandiant dévoilant ses investigations. Comme cela a été révélé, la cyberattaque sur les systèmes de 3CX était liée à une autre attaque de la chaîne d'approvisionnement sur une entreprise distincte.

Mise à jour sur la cyberattaque de 3CX : Mandiant dévoile ses investigations

Après avoir enquêté pendant des semaines, la société de cybersécurité Mandiant a fait part de ses observations sur ce qui s'est passé avec 3CX.

Comme elle l'a révélé dans son billet, son équipe a pu établir un lien entre la cyberattaque de 3CX et une autre attaque de la chaîne d'approvisionnement qui a touché Trading Technologies Inc.

Bien que les chercheurs aient partagé l'analyse technique détaillée du , la chronologie de l'incident et le déroulement de l'attaque dans leur article, en voici un bref aperçu.

Lire aussi :  La technique d'injection du processus de Mockingjay permet de contourner le CED

Plus précisément, 3CX a attrapé le logiciel à partir d'une version trojanisée de l'installateur de logiciel X_TRADER de Trading Technologies. L'analyse du logiciel malveillant a permis à Mandiant de découvrir la porte dérobée VEILEDSIGNAL intégrée qui a exécuté l'attaque.

La porte dérobée modulaire a exécuté l'attaque par étapes, en téléchargeant des DLL malveillantes et d'autres charges utiles. Parallèlement à cette porte dérobée, deux autres modules ont ajouté à sa fonctionnalité en fournissant une injection C2 dans le processus et en écoutant les communications Windows.

Le logiciel malveillant s'est infiltré dans le réseau 3CX par le biais de cette application Trading Technologies, après quoi les attaquants se sont répandus latéralement dans le réseau 3CX. Au cours de ce processus, les attaquants ont continué à collecter des informations d'identification et ont compromis les systèmes Windows et macOS, en déployant des DLL malveillantes et des portes dérobées.

Lire aussi :  Le programme OpenAI ChatGPT Bug Bounty récompense jusqu'à 20 000 dollars

En remontant l'activité du logiciel malveillant UNC4736, les chercheurs ont déduit qu'un acteur nord-coréen était à l'origine de l'attaque.

Au début du mois, 3CX a admis avoir subi une terrible cyberattaque sur son réseau, qui a également touché ses clients. Il s'est avéré que les attaquants ont exploité l'application de l'entreprise pour diffuser des mises à jour malveillantes aux clients.

À l'époque, 3CX a confirmé avoir engagé Mandiant pour enquêter sur la cyberattaque, et maintenant, la société de sécurité a partagé la mise à jour.

Si 3CX est devenu un indicateur puissant de l'attaque de la chaîne d'approvisionnement de Trading Technologies, les chercheurs soupçonnent qu'il y ait d'autres entreprises victimes. Mais il se peut qu'elles n'aient pas encore remarqué et signalé la compromission de leurs réseaux.

Faites-nous part de votre avis dans les commentaires.

Article précédentLe géant européen des services de paie et de ressources humaines attaqué
Article suivantUn paysage d’attaques de plus en plus diversifié