{"id":716574,"date":"2023-04-21T20:47:40","date_gmt":"2023-04-21T20:47:40","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-nk-emplean-un-ataque-de-cadena-de-suministro-en-cascada-estilo-muneca-matryoshka-en-3cx\/"},"modified":"2023-04-21T20:47:44","modified_gmt":"2023-04-21T20:47:44","slug":"los-piratas-informaticos-de-nk-emplean-un-ataque-de-cadena-de-suministro-en-cascada-estilo-muneca-matryoshka-en-3cx","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-de-nk-emplean-un-ataque-de-cadena-de-suministro-en-cascada-estilo-muneca-matryoshka-en-3cx\/","title":{"rendered":"Los piratas inform\u00e1ticos de NK emplean un ataque de cadena de suministro en cascada estilo mu\u00f1eca Matryoshka en 3CX"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El ataque a la cadena de suministro dirigido a 3CX fue el resultado de un compromiso anterior de la cadena de suministro asociado con una empresa diferente, lo que demuestra un nuevo nivel de sofisticaci\u00f3n con los actores de amenazas de Corea del Norte.<\/p>\n<p>Mandiant, propiedad de Google, que est\u00e1 rastreando el evento de ataque bajo el nombre <strong>UNC4736<\/strong>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/3cx-software-supply-chain-compromise\" target=\"_blank\">dicho<\/a> el incidente marca la primera vez que se ve un &#8220;ataque en la cadena de suministro de software que conduce a otro ataque en la cadena de suministro de software&#8221;.<\/p>\n<p>El ataque en cascada estilo mu\u00f1eca Matryoshka contra 3CX sali\u00f3 a la luz por primera vez el 29 de marzo de 2023, cuando se supo que las versiones de Windows y macOS de su software de comunicaci\u00f3n fueron troyanizadas para entregar un minero de datos basado en C\/C++ llamado ICONIC Stealer por medio de un downloader, SUDDENICON, que utilizaba archivos de iconos alojados en GitHub para extraer el servidor que conten\u00eda al ladr\u00f3n.<\/p>\n<p>&#8220;La aplicaci\u00f3n maliciosa luego intenta robar informaci\u00f3n confidencial del navegador web del usuario v\u00edctima&#8221;, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2023\/04\/20\/cisa-releases-malware-analysis-report-iconicstealer\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis del malware.  &#8220;Espec\u00edficamente, se dirigir\u00e1 a los navegadores Chrome, Edge, Brave o Firefox&#8221;.<\/p>\n<p>Los ataques seleccionados dirigidos a empresas de criptomonedas tambi\u00e9n implicaron el despliegue de una puerta trasera de siguiente etapa denominada Gopuram que es capaz de ejecutar comandos adicionales e interactuar con el sistema de archivos de la v\u00edctima.<\/p>\n<p>de Mandiant <a rel=\"nofollow noopener\" href=\"https:\/\/www.3cx.com\/blog\/news\/mandiant-security-update2\/\" target=\"_blank\">investigaci\u00f3n<\/a> En la secuencia de eventos ahora se ha revelado que el paciente cero es una versi\u00f3n maliciosa de un software ahora descontinuado proporcionado por una empresa fintech llamada Trading Technologies, que fue descargado por un empleado de 3CX a su computadora personal.<\/p>\n<p>Describi\u00f3 el vector de intrusi\u00f3n inicial como &#8220;un paquete de software con malware distribuido a trav\u00e9s de un compromiso anterior de la cadena de suministro de software que comenz\u00f3 con un instalador manipulado para X_TRADER&#8221;.<\/p>\n<p>Este instalador malicioso, a su vez, conten\u00eda un binario de instalaci\u00f3n que eliminaba dos archivos DLL con troyanos y un ejecutable inocuo, el \u00faltimo de los cuales se utiliza para descargar uno de los archivos DLL camuflado como una dependencia leg\u00edtima.<\/p>\n<p>La cadena de ataque luego hizo uso de herramientas de c\u00f3digo abierto como <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/med0x2e\/SigFlip\" target=\"_blank\">SIGFLIP<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/monoxgas\/sRDI\" target=\"_blank\">DAVESHELL<\/a> para finalmente extraer y ejecutar VEILEDSIGNAL, una puerta trasera modular de m\u00faltiples etapas escrita en C que es capaz de enviar datos, ejecutar shellcode y terminarse a s\u00ed misma.<\/p>\n<p>El compromiso inicial de la computadora personal del empleado usando VEILEDSIGNAL permiti\u00f3 al actor de amenazas obtener las credenciales corporativas del individuo, dos despu\u00e9s de lo cual tuvo lugar el primer acceso no autorizado a su red a trav\u00e9s de una VPN aprovechando las credenciales robadas.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1682110060_541_Los-piratas-informaticos-de-NK-emplean-un-ataque-de-cadena.png\" alt=\"Ataque a la Cadena de Suministro en Cascada en 3CX\" border=\"0\" data-original-height=\"371\" data-original-width=\"728\" title=\"Ataque a la Cadena de Suministro en Cascada en 3CX\"\/><\/div>\n<p>Adem\u00e1s de identificar similitudes t\u00e1cticas entre las aplicaciones comprometidas X_TRADER y 3CXDesktopApp, Mandiant descubri\u00f3 que el actor de amenazas posteriormente se movi\u00f3 lateralmente dentro del entorno 3CX y viol\u00f3 los entornos de construcci\u00f3n de Windows y macOS.<\/p>\n<p>&#8220;En el entorno de compilaci\u00f3n de Windows, el atacante implement\u00f3 un lanzador TAXHAUL y un descargador COLDCAT que persisti\u00f3 al realizar la carga lateral de DLL a trav\u00e9s del servicio IKEEXT y se ejecut\u00f3 con privilegios de LocalSystem&#8221;, dijo Mandiant.  &#8220;El servidor de compilaci\u00f3n macOS se comprometi\u00f3 con la puerta trasera POOLRAT usando Launch Daemons como mecanismo de persistencia&#8221;.<\/p>\n<p>POOLRAT, previamente clasificado por la firma de inteligencia de amenazas como SIMPLESEA, es un implante macOS C\/C++ capaz de recopilar informaci\u00f3n b\u00e1sica del sistema y ejecutar comandos arbitrarios, incluida la realizaci\u00f3n de operaciones con archivos.<\/p>\n<p>Se sospecha que UNC4736 es un grupo de amenazas con el nexo de Corea del Norte, una evaluaci\u00f3n que ha sido reforzada por el descubrimiento de ESET de un dominio de comando y control (C2) superpuesto (journalide[.]org) empleado en el ataque a la cadena de suministro y el de una campa\u00f1a de Lazarus Group llamada Operation Dream Job.<\/p>\n<p>La evidencia recopilada por Mandiant muestra que el grupo exhibe puntos en com\u00fan con otro conjunto de intrusos rastreado como Operaci\u00f3n AppleJeus, que tiene un historial de llevar a cabo ataques por motivos financieros.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>Adem\u00e1s, se dice que la violaci\u00f3n del sitio web de Trading Technologies tuvo lugar a principios de febrero de 2022 al utilizar como arma una falla de d\u00eda cero en Google Chrome (CVE-2022-0609) para activar una cadena de infecci\u00f3n de m\u00faltiples etapas responsable de servir desconocido cargas \u00fatiles a los visitantes del sitio.<\/p>\n<p>&#8220;El sitio www.tradingtechnologies[.]com estaba comprometido y alojaba un IFRAME oculto para explotar a los visitantes, solo dos meses antes de que se supiera que el sitio entregaba un paquete de software X_TRADER con troyanos&#8221;, explic\u00f3 Mandiant.<\/p>\n<p>Otro v\u00ednculo que lo conecta con AppleJeus es el uso anterior por parte del actor de amenazas de una versi\u00f3n anterior de POOLRAT como parte de un <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/cybersecurity-advisories\/aa21-048a\" target=\"_blank\">campa\u00f1a de larga duraci\u00f3n<\/a> diseminando aplicaciones comerciales con trampas explosivas como <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/analysis-reports\/ar21-048e\" target=\"_blank\">CoinGoTrade<\/a> para facilitar el robo de criptomonedas.<\/p>\n<p>La escala completa de la campa\u00f1a sigue siendo desconocida, y actualmente no est\u00e1 claro si el software X_TRADER comprometido fue utilizado por otras empresas.  Supuestamente, la plataforma se desmantel\u00f3 en abril de 2020, pero a\u00fan estaba disponible para descargar desde el sitio en 2022.<\/p>\n<p>3CX, en un <a rel=\"nofollow noopener\" href=\"https:\/\/www.3cx.com\/blog\/news\/security-action-plan\/\" target=\"_blank\">actualizar<\/a> compartido el 20 de abril de 2023, dijo que est\u00e1 tomando medidas para fortalecer sus sistemas y minimizar el riesgo de ataques de cadena de suministro de software en software anidado al mejorar la seguridad del producto, incorporar herramientas para garantizar la integridad de su software y establecer un nuevo departamento para Operaciones de red y seguridad.<\/p>\n<p>\u201cLos compromisos en cascada de la cadena de suministro de software demuestran que los operadores de Corea del Norte pueden explotar el acceso a la red de manera creativa para desarrollar y distribuir malware, y moverse entre las redes de destino mientras realizan operaciones alineadas con los intereses de Corea del Norte\u201d, dijo Mandiant.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/nk-hackers-employ-matryoshka-doll-style.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El ataque a la cadena de suministro dirigido a 3CX fue el resultado de un compromiso anterior de<\/p>\n","protected":false},"author":1,"featured_media":716575,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[154531,4657,4656,1247,4661,3580,31393,4664,126147,2946,4662,6214,4668,4667,36,29551,17242,4654,4658,4659,4653,4655,6213,4663,4666,4665,2751,4660],"class_list":["post-716574","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-3cx","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataque","tag-ataques-ciberneticos","tag-cadena","tag-cascada","tag-como-hackear","tag-emplean","tag-estilo","tag-filtracion-de-datos","tag-informaticos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-matryoshka","tag-muneca","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-piratas","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-suministro","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/716574","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=716574"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/716574\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/716575"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=716574"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=716574"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=716574"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}