{"id":717288,"date":"2023-04-22T07:01:18","date_gmt":"2023-04-22T07:01:18","guid":{"rendered":"https:\/\/teknomers.com\/es\/lazarus-x_trader-hack-impacta-la-infraestructura-critica-mas-alla-de-la-violacion-de-3cx\/"},"modified":"2023-04-22T07:01:22","modified_gmt":"2023-04-22T07:01:22","slug":"lazarus-x_trader-hack-impacta-la-infraestructura-critica-mas-alla-de-la-violacion-de-3cx","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lazarus-x_trader-hack-impacta-la-infraestructura-critica-mas-alla-de-la-violacion-de-3cx\/","title":{"rendered":"Lazarus X_TRADER Hack impacta la infraestructura cr\u00edtica m\u00e1s all\u00e1 de la violaci\u00f3n de 3CX"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 de abril de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Cadena de Suministro \/ Amenaza Cibern\u00e9tica<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Lazarus, el prol\u00edfico grupo de pirater\u00eda de Corea del Norte detr\u00e1s del ataque en cascada a la cadena de suministro dirigido a 3CX, tambi\u00e9n viol\u00f3 dos organizaciones de infraestructura cr\u00edtica en el sector de energ\u00eda y energ\u00eda y otras dos empresas involucradas en el comercio financiero utilizando la aplicaci\u00f3n troyana X_TRADER.<\/p>\n

Los nuevos hallazgos, que son cortes\u00eda de El equipo de cazadores de amenazas de Symantec<\/a>, confirman las sospechas anteriores de que el compromiso de la aplicaci\u00f3n X_TRADER afect\u00f3 a m\u00e1s organizaciones que 3CX. Los nombres de las organizaciones no fueron revelados.<\/p>\n

Eric Chien, director de respuesta de seguridad de Symantec, propiedad de Broadcom, dijo a The Hacker News en un comunicado que los ataques tuvieron lugar entre septiembre de 2022 y noviembre de 2022.<\/p>\n

“El impacto de estas infecciones se desconoce en este momento; se requiere m\u00e1s investigaci\u00f3n y est\u00e1 en curso”, dijo Chien, y agreg\u00f3 que es posible que “probablemente haya m\u00e1s en esta historia y posiblemente incluso otros paquetes que est\u00e1n troyanizados”.<\/p>\n

El desarrollo se produce cuando Mandiant revel\u00f3 que el compromiso del software de la aplicaci\u00f3n de escritorio 3CX el mes pasado fue facilitado por otra violaci\u00f3n de la cadena de suministro de software dirigida a X_TRADER en 2022, que un empleado descarg\u00f3 en su computadora personal.<\/p>\n

Actualmente no est\u00e1 claro c\u00f3mo UNC4736, un actor del nexo de Corea del Norte, manipul\u00f3 X_TRADER, una pieza de software comercial desarrollada por una empresa llamada Trading Technologies. Si bien el servicio se suspendi\u00f3 en abril de 2020, todav\u00eda estaba disponible para descargar en el sitio web de la compa\u00f1\u00eda el a\u00f1o pasado.<\/p>\n

La investigaci\u00f3n de Mandiant ha revelado que la puerta trasera (llamada VEILEDSIGNAL) inyectada en la aplicaci\u00f3n X_TRADER corrupta permiti\u00f3 al adversario obtener acceso a la computadora del empleado y desviar sus credenciales, que luego se usaron para violar la red de 3CX, moverse lateralmente y comprometer el Windows y Entornos de compilaci\u00f3n de macOS para insertar c\u00f3digo malicioso.<\/p>\n

El ataque interconectado en expansi\u00f3n parece tener una superposici\u00f3n sustancial con grupos y campa\u00f1as anteriores alineados con Corea del Norte que hist\u00f3ricamente se han dirigido a empresas de criptomonedas y han realizado ataques por motivos financieros.<\/p>\n

La subsidiaria de Google Cloud ha evaluado con “moderada confianza” que la actividad est\u00e1 vinculada a AppleJeus, una campa\u00f1a persistente dirigida a las empresas de criptomonedas por robo financiero. La firma de seguridad cibern\u00e9tica CrowdStrike atribuy\u00f3 previamente el ataque a un grupo de Lazarus al que llama Labyrinth Chollima.<\/p>\n

El grupo de an\u00e1lisis de amenazas (TAG) de Google vincul\u00f3 previamente al mismo colectivo adverso al compromiso del sitio web de Trading Technologies en febrero de 2022 para servir un kit de explotaci\u00f3n que aprovech\u00f3 una falla de d\u00eda cero en el navegador web Chrome.<\/p>\n

PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n

Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n

Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n

Guardar mi asiento!<\/a><\/div>\n

ESET, en un an\u00e1lisis de una campa\u00f1a dispar de Lazarus Group, revel\u00f3 una nueva pieza de malware basada en Linux llamada SimplexTea que comparte la misma infraestructura de red identificada como utilizada por UNC4736, ampliando a\u00fan m\u00e1s la evidencia existente de que el ataque a 3CX fue orquestado por una amenaza de Corea del Norte. actores<\/p>\n

“[Mandiant’s] El descubrimiento de un segundo ataque a la cadena de suministro responsable del compromiso de 3CX es una revelaci\u00f3n de que Lazarus podr\u00eda estar cambiando cada vez m\u00e1s a esta t\u00e9cnica para obtener acceso inicial a la red de sus objetivos”, dijo el investigador de malware de ESET Marc-Etienne M.L\u00e9veill\u00e9 a The Noticias de piratas inform\u00e1ticos.<\/p>\n

El compromiso de la aplicaci\u00f3n X_TRADER alude a\u00fan m\u00e1s a las motivaciones financieras de los atacantes. Lazarus (tambi\u00e9n conocido como HIDDEN COBRA) es un t\u00e9rmino general para un compuesto de varios subgrupos con sede en Corea del Norte que se dedican tanto al espionaje como a actividades cibercriminales en nombre del Reino Ermita\u00f1o y evaden las sanciones internacionales.<\/p>\n

El desglose de la cadena de infecci\u00f3n de Symantec corrobora la implementaci\u00f3n de la puerta trasera modular VEILEDSIGNAL, que tambi\u00e9n incorpora un m\u00f3dulo de inyecci\u00f3n de procesos que se puede inyectar en los navegadores web Chrome, Firefox o Edge. El m\u00f3dulo, por su parte, contiene una biblioteca de enlaces din\u00e1micos (DLL) que se conecta al sitio web de Trading Technologies para comando y control (C2).<\/p>\n

“El descubrimiento de que 3CX fue violado por otro ataque anterior a la cadena de suministro hizo que fuera muy probable que m\u00e1s organizaciones se vieran afectadas por esta campa\u00f1a, que ahora resulta ser mucho m\u00e1s amplia de lo que se cre\u00eda originalmente”, concluy\u00f3 Symantec.<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n