Lazarus, el prolífico grupo de piratería de Corea del Norte detrás del ataque en cascada a la cadena de suministro dirigido a 3CX, también violó dos organizaciones de infraestructura crítica en el sector de energía y energía y otras dos empresas involucradas en el comercio financiero utilizando la aplicación troyana X_TRADER.
Los nuevos hallazgos, que son cortesía de El equipo de cazadores de amenazas de Symantec, confirman las sospechas anteriores de que el compromiso de la aplicación X_TRADER afectó a más organizaciones que 3CX. Los nombres de las organizaciones no fueron revelados.
Eric Chien, director de respuesta de seguridad de Symantec, propiedad de Broadcom, dijo a The Hacker News en un comunicado que los ataques tuvieron lugar entre septiembre de 2022 y noviembre de 2022.
«El impacto de estas infecciones se desconoce en este momento; se requiere más investigación y está en curso», dijo Chien, y agregó que es posible que «probablemente haya más en esta historia y posiblemente incluso otros paquetes que están troyanizados».
El desarrollo se produce cuando Mandiant reveló que el compromiso del software de la aplicación de escritorio 3CX el mes pasado fue facilitado por otra violación de la cadena de suministro de software dirigida a X_TRADER en 2022, que un empleado descargó en su computadora personal.
Actualmente no está claro cómo UNC4736, un actor del nexo de Corea del Norte, manipuló X_TRADER, una pieza de software comercial desarrollada por una empresa llamada Trading Technologies. Si bien el servicio se suspendió en abril de 2020, todavía estaba disponible para descargar en el sitio web de la compañía el año pasado.
La investigación de Mandiant ha revelado que la puerta trasera (llamada VEILEDSIGNAL) inyectada en la aplicación X_TRADER corrupta permitió al adversario obtener acceso a la computadora del empleado y desviar sus credenciales, que luego se usaron para violar la red de 3CX, moverse lateralmente y comprometer el Windows y Entornos de compilación de macOS para insertar código malicioso.
El ataque interconectado en expansión parece tener una superposición sustancial con grupos y campañas anteriores alineados con Corea del Norte que históricamente se han dirigido a empresas de criptomonedas y han realizado ataques por motivos financieros.
La subsidiaria de Google Cloud ha evaluado con «moderada confianza» que la actividad está vinculada a AppleJeus, una campaña persistente dirigida a las empresas de criptomonedas por robo financiero. La firma de seguridad cibernética CrowdStrike atribuyó previamente el ataque a un grupo de Lazarus al que llama Labyrinth Chollima.
El grupo de análisis de amenazas (TAG) de Google vinculó previamente al mismo colectivo adverso al compromiso del sitio web de Trading Technologies en febrero de 2022 para servir un kit de explotación que aprovechó una falla de día cero en el navegador web Chrome.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
ESET, en un análisis de una campaña dispar de Lazarus Group, reveló una nueva pieza de malware basada en Linux llamada SimplexTea que comparte la misma infraestructura de red identificada como utilizada por UNC4736, ampliando aún más la evidencia existente de que el ataque a 3CX fue orquestado por una amenaza de Corea del Norte. actores
«[Mandiant’s] El descubrimiento de un segundo ataque a la cadena de suministro responsable del compromiso de 3CX es una revelación de que Lazarus podría estar cambiando cada vez más a esta técnica para obtener acceso inicial a la red de sus objetivos», dijo el investigador de malware de ESET Marc-Etienne M.Léveillé a The Noticias de piratas informáticos.
El compromiso de la aplicación X_TRADER alude aún más a las motivaciones financieras de los atacantes. Lazarus (también conocido como HIDDEN COBRA) es un término general para un compuesto de varios subgrupos con sede en Corea del Norte que se dedican tanto al espionaje como a actividades cibercriminales en nombre del Reino Ermitaño y evaden las sanciones internacionales.
El desglose de la cadena de infección de Symantec corrobora la implementación de la puerta trasera modular VEILEDSIGNAL, que también incorpora un módulo de inyección de procesos que se puede inyectar en los navegadores web Chrome, Firefox o Edge. El módulo, por su parte, contiene una biblioteca de enlaces dinámicos (DLL) que se conecta al sitio web de Trading Technologies para comando y control (C2).
«El descubrimiento de que 3CX fue violado por otro ataque anterior a la cadena de suministro hizo que fuera muy probable que más organizaciones se vieran afectadas por esta campaña, que ahora resulta ser mucho más amplia de lo que se creía originalmente», concluyó Symantec.
