El ataque a la cadena de suministro dirigido a 3CX fue el resultado de un compromiso anterior de la cadena de suministro asociado con una empresa diferente, lo que demuestra un nuevo nivel de sofisticación con los actores de amenazas de Corea del Norte.
Mandiant, propiedad de Google, que está rastreando el evento de ataque bajo el nombre UNC4736, dicho el incidente marca la primera vez que se ve un «ataque en la cadena de suministro de software que conduce a otro ataque en la cadena de suministro de software».
El ataque en cascada estilo muñeca Matryoshka contra 3CX salió a la luz por primera vez el 29 de marzo de 2023, cuando se supo que las versiones de Windows y macOS de su software de comunicación fueron troyanizadas para entregar un minero de datos basado en C/C++ llamado ICONIC Stealer por medio de un downloader, SUDDENICON, que utilizaba archivos de iconos alojados en GitHub para extraer el servidor que contenía al ladrón.
«La aplicación maliciosa luego intenta robar información confidencial del navegador web del usuario víctima», la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dicho en un análisis del malware. «Específicamente, se dirigirá a los navegadores Chrome, Edge, Brave o Firefox».
Los ataques seleccionados dirigidos a empresas de criptomonedas también implicaron el despliegue de una puerta trasera de siguiente etapa denominada Gopuram que es capaz de ejecutar comandos adicionales e interactuar con el sistema de archivos de la víctima.
de Mandiant investigación En la secuencia de eventos ahora se ha revelado que el paciente cero es una versión maliciosa de un software ahora descontinuado proporcionado por una empresa fintech llamada Trading Technologies, que fue descargado por un empleado de 3CX a su computadora personal.
Describió el vector de intrusión inicial como «un paquete de software con malware distribuido a través de un compromiso anterior de la cadena de suministro de software que comenzó con un instalador manipulado para X_TRADER».
Este instalador malicioso, a su vez, contenía un binario de instalación que eliminaba dos archivos DLL con troyanos y un ejecutable inocuo, el último de los cuales se utiliza para descargar uno de los archivos DLL camuflado como una dependencia legítima.
La cadena de ataque luego hizo uso de herramientas de código abierto como SIGFLIP y DAVESHELL para finalmente extraer y ejecutar VEILEDSIGNAL, una puerta trasera modular de múltiples etapas escrita en C que es capaz de enviar datos, ejecutar shellcode y terminarse a sí misma.
El compromiso inicial de la computadora personal del empleado usando VEILEDSIGNAL permitió al actor de amenazas obtener las credenciales corporativas del individuo, dos después de lo cual tuvo lugar el primer acceso no autorizado a su red a través de una VPN aprovechando las credenciales robadas.
Además de identificar similitudes tácticas entre las aplicaciones comprometidas X_TRADER y 3CXDesktopApp, Mandiant descubrió que el actor de amenazas posteriormente se movió lateralmente dentro del entorno 3CX y violó los entornos de construcción de Windows y macOS.
«En el entorno de compilación de Windows, el atacante implementó un lanzador TAXHAUL y un descargador COLDCAT que persistió al realizar la carga lateral de DLL a través del servicio IKEEXT y se ejecutó con privilegios de LocalSystem», dijo Mandiant. «El servidor de compilación macOS se comprometió con la puerta trasera POOLRAT usando Launch Daemons como mecanismo de persistencia».
POOLRAT, previamente clasificado por la firma de inteligencia de amenazas como SIMPLESEA, es un implante macOS C/C++ capaz de recopilar información básica del sistema y ejecutar comandos arbitrarios, incluida la realización de operaciones con archivos.
Se sospecha que UNC4736 es un grupo de amenazas con el nexo de Corea del Norte, una evaluación que ha sido reforzada por el descubrimiento de ESET de un dominio de comando y control (C2) superpuesto (journalide[.]org) empleado en el ataque a la cadena de suministro y el de una campaña de Lazarus Group llamada Operation Dream Job.
La evidencia recopilada por Mandiant muestra que el grupo exhibe puntos en común con otro conjunto de intrusos rastreado como Operación AppleJeus, que tiene un historial de llevar a cabo ataques por motivos financieros.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Además, se dice que la violación del sitio web de Trading Technologies tuvo lugar a principios de febrero de 2022 al utilizar como arma una falla de día cero en Google Chrome (CVE-2022-0609) para activar una cadena de infección de múltiples etapas responsable de servir desconocido cargas útiles a los visitantes del sitio.
«El sitio www.tradingtechnologies[.]com estaba comprometido y alojaba un IFRAME oculto para explotar a los visitantes, solo dos meses antes de que se supiera que el sitio entregaba un paquete de software X_TRADER con troyanos», explicó Mandiant.
Otro vínculo que lo conecta con AppleJeus es el uso anterior por parte del actor de amenazas de una versión anterior de POOLRAT como parte de un campaña de larga duración diseminando aplicaciones comerciales con trampas explosivas como CoinGoTrade para facilitar el robo de criptomonedas.
La escala completa de la campaña sigue siendo desconocida, y actualmente no está claro si el software X_TRADER comprometido fue utilizado por otras empresas. Supuestamente, la plataforma se desmanteló en abril de 2020, pero aún estaba disponible para descargar desde el sitio en 2022.
3CX, en un actualizar compartido el 20 de abril de 2023, dijo que está tomando medidas para fortalecer sus sistemas y minimizar el riesgo de ataques de cadena de suministro de software en software anidado al mejorar la seguridad del producto, incorporar herramientas para garantizar la integridad de su software y establecer un nuevo departamento para Operaciones de red y seguridad.
“Los compromisos en cascada de la cadena de suministro de software demuestran que los operadores de Corea del Norte pueden explotar el acceso a la red de manera creativa para desarrollar y distribuir malware, y moverse entre las redes de destino mientras realizan operaciones alineadas con los intereses de Corea del Norte”, dijo Mandiant.