El proveedor de servicios de comunicaciones empresariales 3CX confirm\u00f3 que el ataque a la cadena de suministro dirigido a su aplicaci\u00f3n de escritorio para Windows y macOS fue obra de un actor de amenazas con el nexo de Corea del Norte.<\/p>\n
Los hallazgos son el resultado de una evaluaci\u00f3n provisional realizada por Mandiant, propiedad de Google, cuyos servicios se contrataron despu\u00e9s de que la intrusi\u00f3n saliera a la luz a fines del mes pasado. La unidad de inteligencia de amenazas y respuesta a incidentes est\u00e1 rastreando la actividad bajo su nombre no categorizado. UNC4736<\/strong>.<\/p>\n Vale la pena se\u00f1alar que la firma de seguridad cibern\u00e9tica CrowdStrike ha atribuido el ataque a un subgrupo de Lazarus denominado Labyrinth Chollima, citando superposiciones t\u00e1cticas.<\/p>\n La cadena de ataque, basada en an\u00e1lisis de m\u00faltiples proveedores de seguridad, implic\u00f3 el uso de t\u00e9cnicas de carga lateral de DLL para cargar un ladr\u00f3n de informaci\u00f3n conocido como ICONIC Stealer, seguido de una segunda etapa llamada Gopuram en ataques selectivos dirigidos a empresas de criptomonedas.<\/p>\n La investigaci\u00f3n forense de Mandiant ahora ha revelado que los actores de amenazas infectaron los sistemas 3CX con un malware con nombre en c\u00f3digo TAXHAUL que est\u00e1 dise\u00f1ado para descifrar y cargar shellcode que contiene un “descargador complejo” etiquetado como COLDCAT.<\/p>\n “En Windows, el atacante us\u00f3 la carga lateral de DLL para lograr la persistencia del malware TAXHAUL”, 3CX dicho<\/a>. “El mecanismo de persistencia tambi\u00e9n garantiza que el malware del atacante se cargue al iniciar el sistema, lo que permite que el atacante conserve el acceso remoto al sistema infectado a trav\u00e9s de Internet”.<\/p>\n La compa\u00f1\u00eda dijo adem\u00e1s que la DLL maliciosa (wlbsctrl.dll) estaba cargado<\/a> por los m\u00f3dulos de codificaci\u00f3n de Windows IKE y AuthIP IPsec (IKEEXT<\/a>) servicio a trav\u00e9s de svchost.exe<\/a>un proceso de sistema leg\u00edtimo.<\/p>\n Se dice que los sistemas macOS a los que se dirige el ataque se han retrocedido utilizando otra variedad de malware denominada SIMPLESEA, un malware basado en C que se comunica a trav\u00e9s de HTTP para ejecutar comandos de shell, transferir archivos y actualizar configuraciones.<\/p>\n Se ha observado que las cepas de malware detectadas dentro del entorno 3CX contactan al menos cuatro servidores de comando y control (C2): azureonlinecloud[.]com, akamaicontainer[.]com, diario[.]org y msboxonline[.]com.<\/p>\n Aprenda a proteger el per\u00edmetro de identidad: estrategias comprobadas<\/p>\n Mejore la seguridad de su empresa con nuestro pr\u00f3ximo seminario web sobre ciberseguridad dirigido por expertos: \u00a1Explore las estrategias del per\u00edmetro de identidad!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n El CEO de 3CX, Nick Galea, en un mensaje del foro<\/a> la semana pasada, dijo que la compa\u00f1\u00eda solo tiene conocimiento de un “pu\u00f1ado de casos” en los que el malware se activ\u00f3 realmente y que est\u00e1 trabajando para “fortalecer nuestras pol\u00edticas, pr\u00e1cticas y tecnolog\u00eda para protegernos contra futuros ataques”. Un actualizado<\/a> aplicaci\u00f3n<\/a> desde entonces se ha puesto a disposici\u00f3n de los clientes.<\/p>\n Actualmente no se determina c\u00f3mo los actores de amenazas lograron ingresar a la red de 3CX, y si implic\u00f3 el uso de armas de una vulnerabilidad conocida o desconocida. El compromiso de la cadena de suministro est\u00e1 siendo rastreado bajo el identificador CVE-2023-29059<\/a> (puntuaci\u00f3n CVSS: 7,8).<\/p>\n <\/p>\n