Campagne d'intrusion active ciblant l'application bureau 3CXDesktopApp

Le 29 mars 2023, des spécialistes en cybersécurité ont observé des comportements douteux de l’application bureau 3CXDesktopApp de 3CX. Les comportements douteux inclus sans se limiter :

• Le téléchargement d’un logiciel malveillant à partir de l’application 3CXDesktopApp légitime.
• Une activité manuelle sur le clavier.

Le 30 mars 2023, un CVE a été attribuée à la vulnérabilité exploitée (CVE-2023-29059).

Versions 3CXDesktopApp impactées

Après analyse approfondie, ces comportements inhabituels se sont relevés malicieux. Des investigations complémentaires ont permis de déterminer que plusieurs versions de l’application bureau 3CXDesktopApp avaient été compromises, à l’insu de leur éditeur 3CX. Les versions compromises sont :

• 3CXDesktopApp pour Windows – versions 18.12.407 et 18.12.416;
• 3CXDesktopApp pour Mac – versions 18.11.1213, 18.12.402 et 18.12.416.

Consequences de l'attaque

La principale conséquence signalée de cette compromission est le vol d’informations liées au système et au navigateur, dont l’historique de navigation internet. L’accès à des mots de passe stockés dans les navigateurs internet est aussi soupçonné.

Mesures de mitigation

Si vous utilisez une version 3CXDesktopApp impactée, il est recommandé d’appliquer immédiatement les mesures suivantes :

• Isoler tous les systèmes impactés
• Désinstaller l’application
• Bloquer tous les indicateurs de compromission (IOC) de l'attaque (voir la liste ci-dessous).

Comment identifier si vous avez été impactés

Vérifier dans votre coupe-feu s’il y a eu des communications sortantes de votre réseau vers les noms de domaines suivantes (indicateurs de compromission de l’attaque). Isoler immédiatement toute machine qui a établi une communication vers l’un de ces domaines. Exemples:

• azuredeploystore[.]com
• azureonlinecloud[.]com
• azureonlinestorage[.]com
• dunamistrd[.]com

Pour consulter la liste globale des indicateurs de compromission, se referer à la section Liste des Indicateurs de compromission.

Qu'est ce que nous avons fait pour les clients MDR (Streamshield) de Streamscan

• Dès qu’ils ont été connus, les indicateurs de compromission de l’attaque ont été injectés dans la technologie de détection de cybermenaces CDS de Streamscan.

• Si vous utilisez la techologie CDS de Streamscan ou notre service de surveillance de sécurité MDR Streamshield, vous êtes protégés.
• Nous gardons notre niveau de vigilance dans la surveillance de votre réseau.

Comment Streamscan peut vous aider?

Les cyberattaques explosent sans cesse. Sans surveillance de sécurité en continu, vous êtes complètement aveugle sur les attaques qui vous ciblent. Or vous ne pouvez pas vous défendre contre ce que vous ne voyez pas.

Laissez-nous mettre nos yeux sur votre réseau. Adhérez à notre plateforme de surveillance gérée MDR (Streamshield) propulsée par notre technologie de détection de cybermenaces CDS et mettez vous à l'abri des cyberattaques.

• Contactez nous au +1 877 208-9040 ou parlez à l’un de nos experts.

Liste des Indicateurs de compromission

azuredeploystore[.]com

azureonlinecloud[.]com

azureonlinestorage[.]com

dunamistrd[.]com

glcloudservice[.]com

journalide[.]org

msedgepackageinfo[.]com

msstorageazure[.]com

msstorageboxes[.]com

officeaddons[.]com

officestoragebox[.]com

zacharryblogs[.]com

akamaicontainer[.]com

akamaitechcloudservices[.]com

msedgepackageinfo[.]com

glcloudservice[.]com

pbxsources[.]com

msstorageazure[.]com

officestoragebox[.]com

visualstudiofactory[.]com

azuredeploystore[.]com

msstorageboxes[.]com/

officeaddons[.]com

visualstudiofactory[.]com

sourceslabs[.]com

sourceslabs[.]com

zacharryblogs[.]com

pbxcloudeservices[.]com

pbxphonenetwork[.]com

qwepoi123098[.]com

sbmsa[.]wiki

akamaitechcloudservices[.]com

pbxcloudeservices[.]com

pbxphonenetwork[.]com

pbxsources[.]com