Ciberdelincuente norcoreano sospechoso del ataque a la cadena de suministro de software 3CX

El software 3CX Desktop App ha sido supuestamente comprometido a través de una violación previa de la cadena de suministro de software, con un actor de Corea del Norte sospechoso de ser el responsable.

Según los investigadores de seguridad de Mandiant, el ataque inicial se remonta a un malware procedente del sitio web de la empresa de software financiero Trading Technologies.

En el primer ataque, los piratas informáticos introdujeron una puerta trasera en una aplicación disponible en el sitio web conocida como X_Trader 1. La aplicación infectada se instaló posteriormente en el sitio web de la empresa. Esa aplicación infectada, instalada posteriormente en el ordenador de un empleado de 3CX, permitió a los hackers extender su acceso a través de la red de 3CX.

En un aviso, Mandiant afirma que este sería el primer caso observado de un ataque a la cadena de suministro de software que lleva a otro.

«A finales de marzo de 2023, un compromiso de la cadena de suministro de software propagó malware a través de una versión troyanizada del software legítimo de 3CX que estaba disponible para descargar desde su sitio web», escribieron Jeff Johnson, Fred Plan, Adrián Sánchez, Renato Fontana, Jake Nicastro, Dimiter Andonov y Marius Fodoreanu de Mandiant.

«[El ataque] muestra el alcance potencial de este tipo de compromiso, particularmente cuando un actor de amenaza puede encadenar intrusiones como se demostró en esta investigación».

Los expertos en seguridad dijeron que las versiones afectadas de 3CX eran DesktopApp 18.12.416 y anteriores, que contenían código malicioso.

«[El código] ejecutaba un descargador, Suddenicon, que a su vez recibía servidores de comando y control (C2) adicionales de archivos de iconos cifrados alojados en GitHub», reza el escrito técnico.

El servidor C2 descifrado se utilizaba entonces para descargar una carga útil de tercera etapa llamada Iconicstealer, un minero de datos que roba información del navegador.

Mandiant dijo que el equipo está rastreando actualmente esta actividad maliciosa como UNC4736, un presunto nexo de actividad de Corea del Norte.

El aviso de Mandiant llega unos meses después de que el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) diera a conocer recomendaciones para ayudar a las medianas y grandes empresas a mapear las dependencias de su cadena de suministro.

Zi zoomSendmarc

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.