Un ataque a la cadena de suministro conduce al pirateo de 3CX y otros ataques a la cadena de suministro

supply chain attack 3CX

Una investigación sobre un ataque a la cadena de suministro que afectó a 3CX el mes pasado encontró que el incidente fue causado por otro compromiso de la cadena de suministro..

Primero, los atacantes apuntaron Tecnologías comerciales, que automatiza el comercio de acciones, y distribuyó versiones troyanizadas de su software.

Déjame recordarte que el FBI advirtió sobre el aumento de ataques a las cadenas de suministro, y los medios, por ejemplo, escribió que todo el país de Vietnam sufrió un complejo ataque a la cadena de suministro.

3CX es un desarrollador de soluciones VoIP cuya Central Telefónica 3CX es utilizada por más de 600,000 empresas en todo el mundo, con más que 12,000,000 usuarios diarios. La lista de clientes de la empresa incluye gigantes como American Express, Coca-Cola, McDonald's, BMW, honda, Aire Francés, Servicio Nacional de Salud, toyota, Mercedes-Benz, Ikea y HollidayInn.

Déjame recordarte que El ataque a 3CX tuvo lugar a finales de marzo. 2023. Un cliente de escritorio basado en Electron, 3CXDesktopApp, fue comprometido y utilizado para distribuir malware a los clientes de la empresa.

Desgraciadamente, A los representantes de 3CX les tomó más de una semana responder a numerosos informes de clientes de que su software de repente se convirtió en malware., aunque expertos de varias grandes empresas de seguridad de la información informaron esto de inmediato, incluido Multitud de huelga, ESET, Redes de Palo Alto, centinelauno y SonicWall.

Cuando el hecho del compromiso ya se había hecho evidente, dijo el jefe de 3CX que el archivo binario ffmpeg utilizado por el cliente de escritorio 3CX podría servir como vector de penetración inicial. Sin embargo, FFmpeg negó estas acusaciones.

Como resultado, 3CX asesoró a sus clientes para eliminar el cliente de escritorio malicioso de todos los dispositivos Windows y macOS y cambiar inmediatamente a la aplicación de cliente web, una aplicación web progresiva (PWA) que proporciona una funcionalidad similar.

Como se supo ahora, El ataque a 3CX se produjo como resultado de un compromiso de otra cadena de suministro.. mandante expertos, quién ayudó a 3CX a investigar el incidente, dijo eso todo comenzó cuando un troyanizado X_Trader El instalador de Trading Technologies fue descargado e instalado. en la computadora personal de un empleado de 3CX.

Esto llevó al despliegue de un sistema modular SEÑAL DE GUÍA puerta trasera diseñada para ejecutar shellcode, inyectar el módulo de comunicación en Chrome, Firefox, y procesos perimetrales, y luego autodestruirse.

Como resultado, el grupo, que los investigadores rastrean bajo el identificador UNC4736, robó credenciales corporativas del dispositivo del empleado y las usó para desviar la red 3CX, eventualmente comprometiendo los entornos de compilación para Windows y macOS.

En un entorno Windows, los atacantes desplegaron el TRANSPORTE DE IMPUESTOS lanzador y el gato frio cargador, que se afianzó en el sistema al interceptar la DLL de IKEEXT y trabajar con privilegios de LocalSystem. El entorno macOS se vio comprometido por el rata de piscina puerta trasera usando Lanzar Demonios como mecanismo de persistencia.lee el informe.

Eso es, el compromiso inicial del sitio web de Trading Technologies tuvo lugar hace más de un año: la versión maliciosa de X_Trader, equipado con la puerta trasera VEILEDSIGNAL, estuvo disponible para su descarga a principios de 2022, y el hack en sí ocurrió al final de 2021. Al mismo tiempo, No está del todo claro dónde exactamente encontró el empleado de 3CX la versión troyanizada de X_Trader en 2023.

ataque a la cadena de suministro 3CX

Según los expertos, El grupo UNC4736 está asociado con personas con motivación financiera. Lázaro grupo de hackers de Corea del Norte. Basado en la duplicación de infraestructura., Los analistas también vincularon UNC4736 con otros dos APT43 grupos rastreados como UNC3782 y UNC4469.

Determinamos que UNC4736 está asociado con los mismos operadores norcoreanos según un análisis de la aplicación troyanizada X_TRADER., que se distribuyó a través de un sitio pirateado mencionado anteriormente en el Grupo de análisis de amenazas de Google Blog (www.tradingtechnologies[.] com ). Esta es la primera vez que encontramos evidencia concreta de que un ataque a una cadena de suministro de software ha dado lugar a otro ataque a otra cadena de suministro de software..Los investigadores de Mandiant dijeron Computadora que suena.

Peor, Mandiant cree que el incidente podría haber afectado a varias organizaciones que simplemente aún no están al tanto del hackeo..

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *