Update 3CX_attaque_supply_Chain.md

fixe markdown

content/articles/3CX_attaque_supply_Chain/3CX_attaque_supply_Chain.md

@@ -1,12 +1,10 @@
 ---
 title: "3CX: un exemple d'attaque par supply chain"
 date: 2023-04-11
-authors:
- - Sebastien Larinier
- - Bertrand Boyer
+authors: Sebastien Larinier et Bertrand Boyer
 ---           
 
-*Cet article qui reprend la version originale de [lien](https://sebdraven.medium.com/3cx-une-attaque-par-supplychain-cb4d579aa675 "Seb sur Medium")
+*Cet article qui reprend la version originale de [lien](https://sebdraven.medium.com/3cx-une-attaque-par-supplychain-cb4d579aa675)*
 
 Le logiciel 3CX a subi une attaque par supply chain depuis au moins le 22 mars 2023. Ce logiciel est utilisé par de nombreuses entreprises (600 000 entreprises dont American Express, Coca-Cola, McDonald’s, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA ) pour leur téléphonie (VoIP). Il s'installe sur les postes de travail Windows, MacOs et Android. Utilisé par plusieurs milliers de clients, ce logiciel est donc très intéressant pour ce type d'attaque et assure à l'acteur malveillant à l'origine de l'opération de nombreuses possibilités d'action. En la matière, on se souvient en particulier de [lien](https://www.lemagit.fr/actualites/252507574/Une-nouvelle-porte-derobee-attribuee-aux-pirates-de-laffaire-SolarWinds "Solar Wind") qui avait ouvert la porte à ce type d'attaque par des acteurs généralement étatiques au regard des capacités déployées.
 
@@ -14,7 +12,7 @@ Le but de cet article n'est pas tant d'analyser l'attaque par elle-même et le m
 
 Une bonne infographie de Thomas Rochia <https://twitter.com/fr0gger_/status/1641668394155151366?s=20> est également disponible et présente clairement les étapes clefs de l'attaque.
 
-#Petits rappel des faits
+## Petits rappel des faits
 
 Comme pour toute attaque de la supply chain, c'est le processus de mise à jour du logiciel qui a été compromis par le groupe d'attaquant. Ainsi, lorsque le logiciel 3CX procède à sa mise à jour, il va installer, en plus, une Dynamic Link Library malveillante qu'il va charger. L'impact est direct puisque l'attaquant a la main sur l'ensemble des machines pour lesquelles la mise à jour a été faite (patchez qui disaient..). De fait, ce type d'attaque est probablement le plus efficace pour compromettre rapidement un nombre important de machines, ce qui en fait un mode d'action à haute valeur ajoutée.
 
@@ -26,7 +24,7 @@ On a d'abord parlé de stealer mais ce malware s'apparente plus à un outil de r
 
 Autre impact fort, mis en avant par Volexity, est un chargeur de shellcode. “L’activité post-exploitation la plus courante observée à ce jour est la création d’un shell de commande interactif”, a également averti le service [lien](https://fr.techbriefly.com/3cx-pirate-dans-une-attaque-de-la-chaine-dapprovisionnement-qui-compromet-12-millions-dutilisateurs-tech-72095/?utm_content=cmp-true "Managed Detection and Response de Sophos"). Ce qui veut dire qu'une fois le malware exécuté, il peut charger ce qu'il veut comme code (et donc ne plus être un simple stealer). En outre, il peut faire cela uniquement en mémoire. Cela sera donc plus difficile pour les équipes de réponses sur incident et pour les analystes de déterminer ce que souhaite réellement l'attaquant.
 
-#l'attribution à la Corée du Nord ?
+## l'attribution à la Corée du Nord ?
 
 Les experts de Sophos ne se sont pas lancés dans une attribution directe. Ils estiment qu’ils “ne peuvent pas valider cette attribution avec une grande confiance”, CrowdStrike, à l'inverse, pense que l’attaque a été menée par [lien](https://www.crowdstrike.com/adversaries/labyrinth-chollima/ "Labyrinth Collima"), généralement associé au gouvernement nord-coréen. Plus largement l'attaque est attribuée à Lazarus <https://attack.mitre.org/groups/G0032/>. sur la base du shellcode et de la clé AES utilisée. Cela peut faire un court pour plusieurs raisons :