{"id":688534,"date":"2023-04-02T12:01:31","date_gmt":"2023-04-02T12:01:31","guid":{"rendered":"https:\/\/teknomers.com\/es\/ataque-a-la-cadena-de-suministro-3cx-esto-es-lo-que-sabemos-hasta-ahora\/"},"modified":"2023-04-02T12:01:34","modified_gmt":"2023-04-02T12:01:34","slug":"ataque-a-la-cadena-de-suministro-3cx-esto-es-lo-que-sabemos-hasta-ahora","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/ataque-a-la-cadena-de-suministro-3cx-esto-es-lo-que-sabemos-hasta-ahora\/","title":{"rendered":"Ataque a la cadena de suministro 3CX: esto es lo que sabemos hasta ahora"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

El fabricante de software de comunicaciones empresariales 3CX confirm\u00f3 el jueves que varias versiones de su aplicaci\u00f3n de escritorio para Windows y macOS se ven afectadas por un ataque a la cadena de suministro.<\/p>\n

Los n\u00fameros de versi\u00f3n incluyen 18.12.407 y 18.12.416<\/strong> para Windows y 18.11.1213, 18.12.402, 18.12.407 y 18.12.416<\/strong> para macOS. Al problema se le ha asignado el identificador CVE CVE-2023-29059<\/a>.<\/p>\n

La compa\u00f1\u00eda dijo que est\u00e1 contratando los servicios de Mandiant, propiedad de Google, para revisar el incidente. Mientras tanto, est\u00e1 instando a sus clientes de versiones locales y autohospedadas del software a actualizar a la versi\u00f3n 18.12.422.<\/p>\n

“Los usuarios de 3CX Hosted y StartUP no necesitan actualizar sus servidores, ya que los actualizaremos autom\u00e1ticamente durante la noche”, dijo el CEO de 3CX, Nick Galea. dicho<\/a> en una entrada de blog. “Los servidores se reiniciar\u00e1n y la nueva aplicaci\u00f3n Electron MSI\/DMG se instalar\u00e1 en el servidor”.<\/p>\n

La evidencia disponible hasta el momento apunta a un compromiso de la canalizaci\u00f3n de compilaci\u00f3n de software de 3CX para distribuir las versiones de Windows y macOS del paquete de la aplicaci\u00f3n o, alternativamente, el envenenamiento de una dependencia ascendente. La escala del ataque es actualmente desconocida.<\/p>\n

Datos de telemetr\u00eda compartido por Fortinet<\/a> muestra que la propagaci\u00f3n geogr\u00e1fica de las m\u00e1quinas de las v\u00edctimas que llaman a la infraestructura controlada por actores conocidos se extiende principalmente por Italia, Alemania, Austria, EE. UU., Sud\u00e1frica, Australia, Suiza, los Pa\u00edses Bajos, Canad\u00e1 y el Reino Unido.<\/p>\n

Se dice que el primer per\u00edodo de actividad potencialmente maliciosa se detect\u00f3 alrededor del 22 de marzo de 2023, seg\u00fan un publicar en el foro 3CX<\/a>aunque los preparativos para la sofisticada campa\u00f1a comenzaron a m\u00e1s tardar en febrero de 2022.<\/p>\n

3CX dicho<\/a> el alerta inicial<\/a> se\u00f1alar un posible problema de seguridad en su aplicaci\u00f3n la semana pasada fue tratado como un “falso positivo” debido al hecho de que ninguno de los motores antivirus en VirusTotal lo etiquet\u00f3 como sospechoso o malware.<\/p>\n

El Versi\u00f3n de Windows del ataque<\/a> aprovech\u00f3 una t\u00e9cnica llamada carga lateral de DLL para cargar una biblioteca maliciosa conocida como “ffmpeg.dll” que est\u00e1 dise\u00f1ada para leer el c\u00f3digo shell encriptado de otra DLL llamada “d3dcompiler_47.dll”.<\/p>\n\n\n\n\n
\"Ataque<\/td>\n<\/tr>\n
SUDDENICON descargando un nuevo ejecutable<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Esto implicaba acceder a un repositorio de GitHub para recuperar un archivo ICO<\/a> que contiene direcciones URL que alojan la carga \u00fatil de la etapa final, un ladr\u00f3n de informaci\u00f3n (denominado Ladr\u00f3n IC\u00d3NICO<\/a> o SUDDENICON<\/a>) capaz de recopilar informaci\u00f3n del sistema y datos confidenciales almacenados en los navegadores web.<\/p>\n

El proveedor brit\u00e1nico de ciberseguridad Sophos se\u00f1al\u00f3<\/a> que el c\u00f3digo de shell<\/a> utilizado en el ataque es una “coincidencia de byte a byte” con muestras anteriores vistas en incidentes atribuidos exclusivamente al Grupo Lazarus.<\/p>\n

“La elecci\u00f3n de estas dos DLL, ffmpeg y d3dcompiler_47, por parte de los actores de amenazas detr\u00e1s de este ataque no fue accidental”, dijo el investigador de seguridad de ReversingLabs, Karlo Zanki. dicho<\/a>.<\/p>\n

“El objetivo en cuesti\u00f3n, 3CXDesktopApp, se basa en el marco de c\u00f3digo abierto de Electron. Ambas bibliotecas en cuesti\u00f3n generalmente se env\u00edan con el tiempo de ejecuci\u00f3n de Electron y, por lo tanto, es poco probable que levanten sospechas en los entornos de los clientes”.<\/p>\n

\"Ataque<\/div>\n

La cadena de ataques de macOS, en la misma l\u00ednea, eludi\u00f3 las verificaciones de notarizaci\u00f3n de Apple para descargar una carga \u00fatil desconocida de un servidor de comando y control (C2) que actualmente no responde.<\/p>\n

“La versi\u00f3n de macOS no usa GitHub para recuperar su servidor C2”, Volexity dicho<\/a>, que realiza un seguimiento de la actividad en el cl\u00faster UTA0040. “En cambio, una lista de servidores C2 se almacena en el archivo codificado con una clave XOR de un solo byte, 0x7A”.<\/p>\n

SEMINARIO WEB THN<\/span><\/p>\n

\u00a1Convi\u00e9rtase en un profesional de respuesta a incidentes!<\/p>\n

Descubra los secretos de la respuesta a incidentes a prueba de balas: \u00a1domine el proceso de 6 fases con Asaf Perlman, l\u00edder de IR de Cynet!<\/p>\n

No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n

La firma de seguridad cibern\u00e9tica CrowdStrike, en un aviso propio, ha atribuido el ataque con mucha confianza a Labyrinth Chollima (tambi\u00e9n conocido como Academia de n\u00edquel<\/a>), un actor patrocinado por el estado alineado con Corea del Norte.<\/p>\n

“La actividad, que apunta a muchas organizaciones en una amplia gama de verticales sin ning\u00fan patr\u00f3n obvio, se ha atribuido a Labyrinth Chollima en funci\u00f3n de la infraestructura de red observada asociada \u00fanicamente con ese adversario, t\u00e9cnicas de instalaci\u00f3n similares y una clave RC4 reutilizada”, Adam Meyers, vicepresidente senior de inteligencia de CrowdStrike, dijo a The Hacker News.<\/p>\n

“Las aplicaciones 3CX troyanizadas invocan una variante de ArcfeedLoader, malware atribuido \u00fanicamente a Labyrinth Chollima”.<\/p>\n

Labyrinth Chollima, seg\u00fan la compa\u00f1\u00eda con sede en Texas, es un subconjunto del Grupo Lazarus, que tambi\u00e9n constituye Silent Chollima (tambi\u00e9n conocido como Andariel o Nickel Hyatt) y Stardust Chollima (tambi\u00e9n conocido como BlueNoroff o Nickel Gladstone).<\/p>\n

El actor de amenazas “ha estado activo al menos desde 2009 y, por lo general, trata de generar ingresos al apuntar a organizaciones financieras y de criptomonedas”, dijo Meyers, y agreg\u00f3 que “probablemente est\u00e9 afiliado a la Oficina 121 de la Oficina General de Reconocimiento de la RPDC (RGB<\/a>) y principalmente lleva a cabo operaciones de espionaje y esquemas de generaci\u00f3n de ingresos”.<\/p>\n

Google Chrome bloquea el \u00faltimo instalador MSI de 3CX<\/strong><\/h2>\n

3CX, en un actualizar<\/a> compartido el viernes, dijo que Google proh\u00edbe las descargas de los archivos de instalaci\u00f3n de MSI a trav\u00e9s de su navegador web Chrome. Tambi\u00e9n se\u00f1al\u00f3 que los motores antivirus de varias empresas est\u00e1n bloqueando cualquier software firmado con el antiguo certificado de seguridad.<\/p>\n

Se han bloqueado los siguientes instaladores de MSI: SBC para Windows, la aplicaci\u00f3n de escritorio de Windows y Call Flow Designer. Sin embargo, hay indicios de que la restricci\u00f3n puede haberse levantado ya que algunos clientes informe<\/a> pudiendo descargar la \u00faltima versi\u00f3n (18.12.422) a trav\u00e9s de Chrome.<\/p>\n

En respuesta, la compa\u00f1\u00eda dijo que est\u00e1 creando nuevos instaladores de MSI con un nuevo certificado y un nuevo servidor de compilaci\u00f3n, un proceso que se espera tome al menos ocho horas. Alienta a\u00fan m\u00e1s a sus clientes a usar la versi\u00f3n de la aplicaci\u00f3n web (PWA) en su lugar.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

El fabricante de software de comunicaciones empresariales 3CX confirm\u00f3 el jueves que varias versiones de su aplicaci\u00f3n de<\/p>\n","protected":false},"author":1,"featured_media":688535,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[154531,4657,4656,191,1247,4661,3580,4664,155,4662,63,4668,4667,4654,4658,4659,4653,4655,4663,4725,4666,4665,2751,4660],"class_list":["post-688534","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-3cx","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ahora","tag-ataque","tag-ataques-ciberneticos","tag-cadena","tag-como-hackear","tag-esto","tag-filtracion-de-datos","tag-hasta","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-sabemos","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-suministro","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/688534","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=688534"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/688534\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/688535"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=688534"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=688534"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=688534"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}