El adversario detr\u00e1s del ataque a la cadena de suministro dirigido a 3CX implement\u00f3 un implante de segunda etapa que seleccion\u00f3 espec\u00edficamente a una peque\u00f1a cantidad de empresas de criptomonedas.<\/p>\n
La empresa rusa de ciberseguridad Kaspersky, que ha sido seguimiento interno<\/a> la puerta trasera vers\u00e1til bajo el nombre Gopuram<\/strong> desde 2020, dijo que observ\u00f3 un aumento en el n\u00famero de infecciones en marzo de 2023 coincidiendo con la brecha 3CX.<\/p>\n La funci\u00f3n principal de Gopuram es conectarse a un servidor de comando y control (C2) y esperar m\u00e1s instrucciones que permitan a los atacantes interactuar con el sistema de archivos de la v\u00edctima, crear procesos y ejecutar hasta ocho m\u00f3dulos en memoria.<\/p>\n Los v\u00ednculos de la puerta trasera con Corea del Norte se derivan del hecho de que “coexist\u00eda en las m\u00e1quinas de las v\u00edctimas con AppleJeus, una puerta trasera atribuida al actor de amenazas de habla coreana Lazarus”, que detalla un ataque a una criptoempresa no identificada ubicada en el sudeste asi\u00e1tico en 2020.<\/p>\n El objetivo de las empresas de criptomonedas es otra se\u00f1al reveladora de la participaci\u00f3n del Grupo Lazarus, dado el enfoque recurrente del actor de amenazas en la industria financiera para generar ganancias il\u00edcitas para la naci\u00f3n afectada por las sanciones.<\/p>\n Kaspersky dijo adem\u00e1s que identific\u00f3 una superposici\u00f3n de C2 con un servidor (“wirexpro[.]com”) que fue previamente identificado como empleado en un Campa\u00f1a Apple Jeus<\/a> documentado por Malwarebytes en diciembre de 2022. <\/p>\n “Como la puerta trasera de Gopuram se implement\u00f3 en menos de diez m\u00e1quinas infectadas, indica que los atacantes usaron Gopuram con precisi\u00f3n quir\u00fargica”, se\u00f1al\u00f3 la compa\u00f1\u00eda, y agreg\u00f3 que las tasas de infecci\u00f3n m\u00e1s altas se detectaron en Brasil, Alemania, Italia y Francia.<\/p>\n Si bien la cadena de ataque descubierta hasta ahora implica el uso de instaladores deshonestos para distribuir un ladr\u00f3n de informaci\u00f3n (conocido como ICONIC Stealer), los \u00faltimos hallazgos sugieren que el objetivo final de la campa\u00f1a puede haber sido infectar objetivos con la puerta trasera modular completa.<\/p>\n Dicho esto, no se sabe qu\u00e9 tan exitosa ha sido la campa\u00f1a y si ha llevado al robo real de datos confidenciales o criptomonedas. Sin embargo, plantea la posibilidad de que ICONIC Stealer se haya utilizado como una utilidad de reconocimiento para lanzar una red amplia e identificar objetivos de inter\u00e9s para la explotaci\u00f3n de seguimiento.<\/p>\n El desarrollo llega como BlackBerry revel\u00f3 que<\/a> “La fase inicial de esta operaci\u00f3n tuvo lugar entre finales del verano y principios del oto\u00f1o de 2022”.<\/p>\n La mayor\u00eda de los intentos de ataque, seg\u00fan la compa\u00f1\u00eda canadiense, se registraron en Australia, EE. UU. y el Reino Unido, y los sectores de salud, farmac\u00e9utico, TI y finanzas surgieron como los principales sectores objetivo. <\/p>\n Actualmente no est\u00e1 claro c\u00f3mo el actor de amenazas obtuvo el acceso inicial a la red 3CX y si implic\u00f3 la explotaci\u00f3n de una vulnerabilidad conocida o desconocida. El compromiso est\u00e1 siendo rastreado bajo el identificador CVE-2023-29059<\/a>.<\/p>\n \u00a1Convi\u00e9rtase en un profesional de respuesta a incidentes!<\/p>\n Descubra los secretos de la respuesta a incidentes a prueba de balas: \u00a1domine el proceso de 6 fases con Asaf Perlman, l\u00edder de IR de Cynet!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n La evidencia recopilada hasta la fecha indica que los atacantes envenenaron el entorno de desarrollo de 3CX y entregaron versiones troyanizadas de la aplicaci\u00f3n leg\u00edtima a los clientes intermedios de la empresa en un ataque a la cadena de suministro similar a SolarWinds o Kaseya.<\/p>\n Tambi\u00e9n se detect\u00f3 uno de los componentes maliciosos responsables de recuperar el ladr\u00f3n de informaci\u00f3n, una biblioteca llamada “d3dcompiler_47.dll”. armamento<\/a> una falla de Windows de 10 a\u00f1os (CVE-2013-3900<\/a>) para incorporar shellcode encriptado sin invalidar su firma emitida por Microsoft.<\/p>\n Un punto que vale la pena se\u00f1alar aqu\u00ed es que la misma t\u00e9cnica fue adoptada por una campa\u00f1a de malware ZLoader descubierta por la firma de ciberseguridad israel\u00ed Check Point Research en enero de 2022.<\/p>\n Se han visto afectadas varias versiones de la aplicaci\u00f3n de escritorio: 18.12.407 y 18.12.416 para Windows y 18.11.1213, 18.12.402, 18.12.407 y 18.12.416 para macOS. 3CX desde entonces cubri\u00f3 el ataque<\/a> en un “hacker altamente experimentado y bien informado”. <\/p>\n CrowdStrike ha relacionado el incidente con un grupo de estado-naci\u00f3n alineado con Corea del Norte que rastrea bajo el nombre de Labyrinth Chollima, un subgrupo dentro del Grupo Lazarus.<\/p>\n <\/p>\n