El adversario detrás del ataque a la cadena de suministro dirigido a 3CX implementó un implante de segunda etapa que seleccionó específicamente a una pequeña cantidad de empresas de criptomonedas.
La empresa rusa de ciberseguridad Kaspersky, que ha sido seguimiento interno la puerta trasera versátil bajo el nombre Gopuram desde 2020, dijo que observó un aumento en el número de infecciones en marzo de 2023 coincidiendo con la brecha 3CX.
La función principal de Gopuram es conectarse a un servidor de comando y control (C2) y esperar más instrucciones que permitan a los atacantes interactuar con el sistema de archivos de la víctima, crear procesos y ejecutar hasta ocho módulos en memoria.
Los vínculos de la puerta trasera con Corea del Norte se derivan del hecho de que «coexistía en las máquinas de las víctimas con AppleJeus, una puerta trasera atribuida al actor de amenazas de habla coreana Lazarus», que detalla un ataque a una criptoempresa no identificada ubicada en el sudeste asiático en 2020.
El objetivo de las empresas de criptomonedas es otra señal reveladora de la participación del Grupo Lazarus, dado el enfoque recurrente del actor de amenazas en la industria financiera para generar ganancias ilícitas para la nación afectada por las sanciones.
Kaspersky dijo además que identificó una superposición de C2 con un servidor («wirexpro[.]com») que fue previamente identificado como empleado en un Campaña Apple Jeus documentado por Malwarebytes en diciembre de 2022.
«Como la puerta trasera de Gopuram se implementó en menos de diez máquinas infectadas, indica que los atacantes usaron Gopuram con precisión quirúrgica», señaló la compañía, y agregó que las tasas de infección más altas se detectaron en Brasil, Alemania, Italia y Francia.
Si bien la cadena de ataque descubierta hasta ahora implica el uso de instaladores deshonestos para distribuir un ladrón de información (conocido como ICONIC Stealer), los últimos hallazgos sugieren que el objetivo final de la campaña puede haber sido infectar objetivos con la puerta trasera modular completa.
Dicho esto, no se sabe qué tan exitosa ha sido la campaña y si ha llevado al robo real de datos confidenciales o criptomonedas. Sin embargo, plantea la posibilidad de que ICONIC Stealer se haya utilizado como una utilidad de reconocimiento para lanzar una red amplia e identificar objetivos de interés para la explotación de seguimiento.
El desarrollo llega como BlackBerry reveló que «La fase inicial de esta operación tuvo lugar entre finales del verano y principios del otoño de 2022».
La mayoría de los intentos de ataque, según la compañía canadiense, se registraron en Australia, EE. UU. y el Reino Unido, y los sectores de salud, farmacéutico, TI y finanzas surgieron como los principales sectores objetivo.
Actualmente no está claro cómo el actor de amenazas obtuvo el acceso inicial a la red 3CX y si implicó la explotación de una vulnerabilidad conocida o desconocida. El compromiso está siendo rastreado bajo el identificador CVE-2023-29059.
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
La evidencia recopilada hasta la fecha indica que los atacantes envenenaron el entorno de desarrollo de 3CX y entregaron versiones troyanizadas de la aplicación legítima a los clientes intermedios de la empresa en un ataque a la cadena de suministro similar a SolarWinds o Kaseya.
También se detectó uno de los componentes maliciosos responsables de recuperar el ladrón de información, una biblioteca llamada «d3dcompiler_47.dll». armamento una falla de Windows de 10 años (CVE-2013-3900) para incorporar shellcode encriptado sin invalidar su firma emitida por Microsoft.
Un punto que vale la pena señalar aquí es que la misma técnica fue adoptada por una campaña de malware ZLoader descubierta por la firma de ciberseguridad israelí Check Point Research en enero de 2022.
Se han visto afectadas varias versiones de la aplicación de escritorio: 18.12.407 y 18.12.416 para Windows y 18.11.1213, 18.12.402, 18.12.407 y 18.12.416 para macOS. 3CX desde entonces cubrió el ataque en un «hacker altamente experimentado y bien informado».
CrowdStrike ha relacionado el incidente con un grupo de estado-nación alineado con Corea del Norte que rastrea bajo el nombre de Labyrinth Chollima, un subgrupo dentro del Grupo Lazarus.