El fabricante de software de comunicaciones empresariales 3CX confirmó el jueves que varias versiones de su aplicación de escritorio para Windows y macOS se ven afectadas por un ataque a la cadena de suministro.
Los números de versión incluyen 18.12.407 y 18.12.416 para Windows y 18.11.1213, 18.12.402, 18.12.407 y 18.12.416 para macOS. Al problema se le ha asignado el identificador CVE CVE-2023-29059.
La compañía dijo que está contratando los servicios de Mandiant, propiedad de Google, para revisar el incidente. Mientras tanto, está instando a sus clientes de versiones locales y autohospedadas del software a actualizar a la versión 18.12.422.
«Los usuarios de 3CX Hosted y StartUP no necesitan actualizar sus servidores, ya que los actualizaremos automáticamente durante la noche», dijo el CEO de 3CX, Nick Galea. dicho en una entrada de blog. «Los servidores se reiniciarán y la nueva aplicación Electron MSI/DMG se instalará en el servidor».
La evidencia disponible hasta el momento apunta a un compromiso de la canalización de compilación de software de 3CX para distribuir las versiones de Windows y macOS del paquete de la aplicación o, alternativamente, el envenenamiento de una dependencia ascendente. La escala del ataque es actualmente desconocida.
Datos de telemetría compartido por Fortinet muestra que la propagación geográfica de las máquinas de las víctimas que llaman a la infraestructura controlada por actores conocidos se extiende principalmente por Italia, Alemania, Austria, EE. UU., Sudáfrica, Australia, Suiza, los Países Bajos, Canadá y el Reino Unido.
Se dice que el primer período de actividad potencialmente maliciosa se detectó alrededor del 22 de marzo de 2023, según un publicar en el foro 3CXaunque los preparativos para la sofisticada campaña comenzaron a más tardar en febrero de 2022.
3CX dicho el alerta inicial señalar un posible problema de seguridad en su aplicación la semana pasada fue tratado como un «falso positivo» debido al hecho de que ninguno de los motores antivirus en VirusTotal lo etiquetó como sospechoso o malware.
El Versión de Windows del ataque aprovechó una técnica llamada carga lateral de DLL para cargar una biblioteca maliciosa conocida como «ffmpeg.dll» que está diseñada para leer el código shell encriptado de otra DLL llamada «d3dcompiler_47.dll».
 |
| SUDDENICON descargando un nuevo ejecutable |
Esto implicaba acceder a un repositorio de GitHub para recuperar un archivo ICO que contiene direcciones URL que alojan la carga útil de la etapa final, un ladrón de información (denominado Ladrón ICÓNICO o SUDDENICON) capaz de recopilar información del sistema y datos confidenciales almacenados en los navegadores web.
El proveedor británico de ciberseguridad Sophos señaló que el código de shell utilizado en el ataque es una «coincidencia de byte a byte» con muestras anteriores vistas en incidentes atribuidos exclusivamente al Grupo Lazarus.
«La elección de estas dos DLL, ffmpeg y d3dcompiler_47, por parte de los actores de amenazas detrás de este ataque no fue accidental», dijo el investigador de seguridad de ReversingLabs, Karlo Zanki. dicho.
«El objetivo en cuestión, 3CXDesktopApp, se basa en el marco de código abierto de Electron. Ambas bibliotecas en cuestión generalmente se envían con el tiempo de ejecución de Electron y, por lo tanto, es poco probable que levanten sospechas en los entornos de los clientes».
La cadena de ataques de macOS, en la misma línea, eludió las verificaciones de notarización de Apple para descargar una carga útil desconocida de un servidor de comando y control (C2) que actualmente no responde.
«La versión de macOS no usa GitHub para recuperar su servidor C2», Volexity dicho, que realiza un seguimiento de la actividad en el clúster UTA0040. «En cambio, una lista de servidores C2 se almacena en el archivo codificado con una clave XOR de un solo byte, 0x7A».
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
La firma de seguridad cibernética CrowdStrike, en un aviso propio, ha atribuido el ataque con mucha confianza a Labyrinth Chollima (también conocido como Academia de níquel), un actor patrocinado por el estado alineado con Corea del Norte.
«La actividad, que apunta a muchas organizaciones en una amplia gama de verticales sin ningún patrón obvio, se ha atribuido a Labyrinth Chollima en función de la infraestructura de red observada asociada únicamente con ese adversario, técnicas de instalación similares y una clave RC4 reutilizada», Adam Meyers, vicepresidente senior de inteligencia de CrowdStrike, dijo a The Hacker News.
«Las aplicaciones 3CX troyanizadas invocan una variante de ArcfeedLoader, malware atribuido únicamente a Labyrinth Chollima».
Labyrinth Chollima, según la compañía con sede en Texas, es un subconjunto del Grupo Lazarus, que también constituye Silent Chollima (también conocido como Andariel o Nickel Hyatt) y Stardust Chollima (también conocido como BlueNoroff o Nickel Gladstone).
El actor de amenazas «ha estado activo al menos desde 2009 y, por lo general, trata de generar ingresos al apuntar a organizaciones financieras y de criptomonedas», dijo Meyers, y agregó que «probablemente esté afiliado a la Oficina 121 de la Oficina General de Reconocimiento de la RPDC (RGB) y principalmente lleva a cabo operaciones de espionaje y esquemas de generación de ingresos».
Google Chrome bloquea el último instalador MSI de 3CX
3CX, en un actualizar compartido el viernes, dijo que Google prohíbe las descargas de los archivos de instalación de MSI a través de su navegador web Chrome. También señaló que los motores antivirus de varias empresas están bloqueando cualquier software firmado con el antiguo certificado de seguridad.
Se han bloqueado los siguientes instaladores de MSI: SBC para Windows, la aplicación de escritorio de Windows y Call Flow Designer. Sin embargo, hay indicios de que la restricción puede haberse levantado ya que algunos clientes informe pudiendo descargar la última versión (18.12.422) a través de Chrome.
En respuesta, la compañía dijo que está creando nuevos instaladores de MSI con un nuevo certificado y un nuevo servidor de compilación, un proceso que se espera tome al menos ocho horas. Alienta aún más a sus clientes a usar la versión de la aplicación web (PWA) en su lugar.