Certains articles de veille peuvent faire l'objet de traduction automatique.
Quelques jours après l’horrible cyberattaque, plus de détails sur l’incident 3CX apparaissent en ligne alors que Mandiant divulgue ses enquêtes. Comme révélé, la cyberattaque sur les systèmes 3CX est liée à une autre attaque de la chaîne d’approvisionnement contre une entreprise distincte.
Mise à jour sur la cyberattaque 3CX : Mandiant partage ses enquêtes
Après avoir enquêté sur la question pendant des semaines, la société de cybersécurité Mandiant a partagé des informations sur ce qui s’est passé avec 3CX.
Comme révélé dans son posteson équipe a pu retracer le lien entre la cyberattaque 3CX et une autre attaque de la chaîne d’approvisionnement qui a affecté Trading Technologies Inc.
Bien que les chercheurs aient partagé l’analyse technique détaillée du logiciel malveillant, la chronologie des incidents et le flux d’attaque dans leur article, voici un bref aperçu.
Plus précisément, 3CX a attrapé le malware à partir d’une version trojanisée du programme d’installation du logiciel X_TRADER de Trading Technologies. L’analyse du logiciel malveillant a permis à Mandiant de découvrir la porte dérobée VEILEDSIGNAL intégrée qui a exécuté l’attaque.
La porte dérobée modulaire a exécuté l’attaque par étapes, en téléchargeant des DLL malveillantes et d’autres charges utiles. A côté de cette porte dérobée, deux autres modules ont ajouté à sa fonctionnalité en assurant l’injection de C2 dans le processus et l’écoute de la communication Windows.
Le malware s’est infiltré dans le réseau 3CX via cette application Trading Technologies, après quoi les attaquants se sont propagés latéralement sur le réseau 3CX. Au cours de ce processus, les attaquants ont continué à collecter des informations d’identification et à compromettre les systèmes Windows et macOS, en déployant des DLL et des portes dérobées malveillantes.
Remonter cette activité de malware UNC4736 a conduit les chercheurs à déduire qu’un acteur menaçant nord-coréen était à l’origine de l’attaque.
Plus tôt ce mois-ci, 3CX a admis avoir subi une terrible cyberattaque sur son réseau qui a également affecté ses clients. Il s’est avéré que les attaquants ont exploité l’application de l’entreprise pour déployer des mises à jour malveillantes auprès des clients.
À ce moment-là, 3CX a confirmé l’embauche de Mandiant pour enquêter sur la cyberattaque, et maintenant, la société de sécurité a partagé la mise à jour.
Alors que 3CX est devenu un indicateur puissant de l’attaque de la chaîne d’approvisionnement de Trading Technologies, les chercheurs soupçonnent qu’il pourrait y avoir d’autres entreprises victimes. Mais ils peuvent ou non avoir remarqué et signalé la compromission sur leurs réseaux.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire