Vue d’ensemble
Sophos X-Ops suit de près une attaque visant l’application 3CX Desktop, probablement lancée par un groupe lié à un État-nation.
Le logiciel concerné est 3CX : un système téléphonique logiciel PBX légitime, disponible sous Windows, MacOS, Linux, Android et iOS. L’application a été abusée par un acteur malveillant afin d’ajouter un programme d’installation qui communique avec divers serveurs command-and-control (C2).
Une liste des IOC pour cette attaque est publiée sur notre GitHub.
Protection Sophos
Sophos a pris les mesures suivantes pour protéger les clients contre cette attaque :
- Blocage des domaines malveillants
- Publication des détections suivantes :
Détections statiques :
- Troj/Loader-AF (ffmpeg.dll tojanisé)
- Troj/Mdrop-JTQ (programmes d’installation)
- OSX/Mdrop-JTR (programmes d’installation)
- OSX/Loader-AG (ffmpeg.dll tojanisé)
Détection de réputation :
- Mal/Generic-R / Mal/Generic-S (d3dcompiler avec ajout d’un shellcode)
Détection de mémoire :
- Mémoire/Chargeur-AH
Nous avons également :
- bloqué la liste des domaines C2 connus et associés à la menace et nous continuerons de mettre à jour cette liste.
- signalé les deux versions malveillantes de ffmpeg.dll fournies dans l’application 3CX affectée comme ayant une mauvaise réputation.
- mis à la disposition des clients Sophos MDR, grâce à l’équipe d’ingénierie de détection MDR, un ensemble de détections comportementales qui permettra de repérer l’activité de suivi.
Déterminer l’impact avec Sophos XDR
Sophos XDR permet aux entreprises de déterminer si les hôtes ont communiqué avec l’infrastructure des acteurs malveillants. Nous avons créé une requête personnalisée qui est disponible ici.
Pour en savoir plus
Pour obtenir plus d’informations sur cette attaque, parcourez l’article de Sophos X-Ops ici.
Nous recommandons également aux utilisateurs du logiciel 3CX de surveiller le blog et le forum support de l’entreprise.
Billet inspiré de 3CX Desktop Attack: Sophos Customer Information, sur le Blog Sophos.