Cyberattaque 3CX : une porte dérobée renforce les soupçons contre Lazarus

Le client lourd piégé de téléphonie sur IP de 3CX, son softphone, n’a pas été uniquement utilisé pour déployer un maliciel dérobeur de données, un infostealer. C’est ce qu’ont découvert les chercheurs de Kaspersky. 

Pour mémoire, CrowdStrike a alerté, ce 29 mars 2023, de la distribution, par 3CX d’une version de son softphone macOS et Windows compromise, infectée à son insu par un tiers malveillant. Cette version commence à communiquer, sept jours après son installation, avec une infrastructure de commande et de contrôle, mise en place à l’automne 2022 – sinon plus tôt encore. 

C’est lorsque s’engagent ces communications que peuvent être déployées des charges utiles telles que l’infostealer observé. Mais il n’est pas à exclure que d’autres charges utiles n’aient pas encore été découvertes. 

Et justement, les équipes de Kasperky indiquent avoir mis la main sur un autre implant, sous la forme d’une librairie nommée guard64.dll. Dans un billet de blog, les chercheurs expliquent qu’ils avaient commencé à se pencher dessus dans le cadre d’un incident sans rapport avec la campagne 3CX, mais à une date troublante : le 21 mars. 

« Une DLL portant ce nom a été utilisée dans le cadre de déploiements récents d’une porte dérobée surnommée “Gopuram” et qui est suivie activement en interne depuis 2020 », précisent les chercheurs. Gopuram avait alors été observée sur des machines également compromises avec AppleJeus, une porte dérobée utilisée par Lazarus. La victime était une entreprise spécialisée dans les cryptodevises, en Asie du Sud-Est. Durant trois ans, le nombre de cas impliquant Gopuram est resté limité, « mais le nombre d’infections a commencé à croître en mars 2023 ». 

Avec cette découverte, Kaspersky attribue avec « une confiance modérée à élevée » la campagne 3CX à Lazarus. Gopuram n’aurait été déployé que sur moins d’une dizaine de machines compromises, de quoi indiquer « une précision chirurgicale » dans son utilisation.