El proveedor de servicios de comunicaciones empresariales 3CX confirmó que el ataque a la cadena de suministro dirigido a su aplicación de escritorio para Windows y macOS fue obra de un actor de amenazas con el nexo de Corea del Norte.
Los hallazgos son el resultado de una evaluación provisional realizada por Mandiant, propiedad de Google, cuyos servicios se contrataron después de que la intrusión saliera a la luz a fines del mes pasado. La unidad de inteligencia de amenazas y respuesta a incidentes está rastreando la actividad bajo su nombre no categorizado. UNC4736.
Vale la pena señalar que la firma de seguridad cibernética CrowdStrike ha atribuido el ataque a un subgrupo de Lazarus denominado Labyrinth Chollima, citando superposiciones tácticas.
La cadena de ataque, basada en análisis de múltiples proveedores de seguridad, implicó el uso de técnicas de carga lateral de DLL para cargar un ladrón de información conocido como ICONIC Stealer, seguido de una segunda etapa llamada Gopuram en ataques selectivos dirigidos a empresas de criptomonedas.
La investigación forense de Mandiant ahora ha revelado que los actores de amenazas infectaron los sistemas 3CX con un malware con nombre en código TAXHAUL que está diseñado para descifrar y cargar shellcode que contiene un «descargador complejo» etiquetado como COLDCAT.
«En Windows, el atacante usó la carga lateral de DLL para lograr la persistencia del malware TAXHAUL», 3CX dicho. «El mecanismo de persistencia también garantiza que el malware del atacante se cargue al iniciar el sistema, lo que permite que el atacante conserve el acceso remoto al sistema infectado a través de Internet».
La compañía dijo además que la DLL maliciosa (wlbsctrl.dll) estaba cargado por los módulos de codificación de Windows IKE y AuthIP IPsec (IKEEXT) servicio a través de svchost.exeun proceso de sistema legítimo.
Se dice que los sistemas macOS a los que se dirige el ataque se han retrocedido utilizando otra variedad de malware denominada SIMPLESEA, un malware basado en C que se comunica a través de HTTP para ejecutar comandos de shell, transferir archivos y actualizar configuraciones.
Se ha observado que las cepas de malware detectadas dentro del entorno 3CX contactan al menos cuatro servidores de comando y control (C2): azureonlinecloud[.]com, akamaicontainer[.]com, diario[.]org y msboxonline[.]com.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
El CEO de 3CX, Nick Galea, en un mensaje del foro la semana pasada, dijo que la compañía solo tiene conocimiento de un «puñado de casos» en los que el malware se activó realmente y que está trabajando para «fortalecer nuestras políticas, prácticas y tecnología para protegernos contra futuros ataques». Un actualizado aplicación desde entonces se ha puesto a disposición de los clientes.
Actualmente no se determina cómo los actores de amenazas lograron ingresar a la red de 3CX, y si implicó el uso de armas de una vulnerabilidad conocida o desconocida. El compromiso de la cadena de suministro está siendo rastreado bajo el identificador CVE-2023-29059 (puntuación CVSS: 7,8).