Le groupe nord-coréen Lazarus Group a exploité une faille dans un logiciel de 3CX, mettant en danger ses 600 000 entreprises clientes dans le monde

SentinelOne et CrowdStrike ont révélé, le 29 mars 2023, une campagne cybercriminelle visant le fournisseur de téléphonie professionnelle 3CX. Les attaquants ont profité d’une faille dans la version Windows du programme 3CXDesktopApp, qui permet de téléphoner à partir d’un ordinateur. Sophos a ensuite identifié un variant MacOS de l’exploit.

Cette vulnérabilité a permis aux cybercriminels d’installer un cheval de Troie puis un logiciel espion sur les machines infectées. Les premiers indices de cette compromission ont été repérés le 22 mars 2023 mais le cheval de Troie aurait été installé dès février 2023, voire décembre 2022.

Cette campagne jugée « de haut niveau » visait manifestement les clients de 3CX, dans une classique attaque de la chaîne logistique (« supply chain attack »). 3CX fournit en effet des services à plus de 600 000 entreprises dans le monde, pour 12 millions d’utilisateurs quotidiens. En France, Renault, Air France ou SLB (ex-Schlumberger) utilisent par exemple 3CXDesktopApp.

Alerté, 3CX a demandé à tous ses clients de désinstaller immédiatement le logiciel. La société a par ailleurs mandaté Mandiant pour investiguer sur cette affaire. Aucune information sur les sociétés éventuellement compromises n’a encore filtré. SentinelOne n’a pas attribué l’attaque, mais CrowdStrike la relie à « Labyrinth Chollima », l’un des nombreux avatars du groupe nord-coréen Lazarus Group.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.