RESUMEN EJECUTIVO:
El miércoles, analistas de inteligencia de amenazas de seguridad cibernética descubrieron un ataque a la cadena de suministro dirigido al proveedor de software de comunicaciones 3CX y a los clientes de la compañía. 3CX es una empresa de desarrollo de software VoIP IPBX cuyo sistema telefónico 3CX es utilizado por más de 600,000 empresas de todo el mundo, con 12 millones de usuarios diarios.
La lista de clientes de la compañía incluye organizaciones de los sectores de automoción, alimentos y bebidas, hostelería, fabricación y proveedores de servicios gestionados de tecnología de la información (MSP). Los clientes han sido notificados y alentados a comenzar a buscar de inmediato signos de compromiso.
Las tácticas de los atacantes parecen similares a las utilizadas contra Vientos solares el año pasado. Con respecto al ataque 3CX, "Este es un ataque clásico de la cadena de suministro, diseñado para explotar las relaciones de confianza entre una organización y partes externas; esto incluye asociaciones con proveedores o el uso de un software de terceros del que la mayoría de las empresas dependen de alguna manera", dijo Lotem Finkelstein, director de inteligencia e investigación de amenazas en Check Point.
"Este incidente es un recordatorio de lo crítico que es que hagamos nuestra debida diligencia en términos de examinar con quién hacemos negocios", continuó.
Los investigadores observaron inicialmente un aumento en las detecciones de comportamiento de la aplicación 3CXDesktopApp, prevenevitar que los instaladores troyanizados se ejecuten y conduzcan a cuarentena predeterminada.
El troyanizado 3CXDesktopApp es la primera etapa de una cadena de ataque de varias etapas que extrae archivos ICO adjuntos con datos base64 de GitHub, lo que finalmente conduce a una DLL de infostealer de tercera etapa…
"La actividad maliciosa incluye la señalización a la infraestructura controlada por actores, el despliegue de cargas útiles de segunda etapa y, en un pequeño número de casos, la actividad práctica con el teclado", informó un equipo de investigadores de seguridad.
Las alertas de los investigadores de seguridad indican que los atacantes se dirigen a los usuarios de Windows y macOS de la aplicación 3CX comprometida.
La aplicación afectada es una herramienta empresarial que se creó para mantener a los equipos conectados sin atarlos al entorno de office. Es comúnmente utilizado por la fuerza de trabajo híbrida o remota para llamadas de equipo y clientes. La aplicación puede grabar comunicaciones, facilitar videoconferencias, habilitar la verificación del correo de voz y más.
Por el momento, los investigadores creen que un grupo de piratería respaldado por el estado de Corea del Norte conocido como Labyrinth Collima puede estar detrás del ataque, aunque esta atribución no se puede verificar.
El ataque a la cadena de suministro se basa en lo que se conoce como carga lateral de DLL. Esto significa que los atacantes utilizaron un ejecutable firmado (paquete MSI) para cargar una DLL maliciosa llamada ffmpeg.DLL. Esta DLL se ha modificado para leer datos cifrados de otra DLL llamada d3dcomplier_47.DLL.
Los atacantes han almacenado una lista codificada de URL en un archivo específico de GitHub. Una vez que el d3dcomplier_47.dll extrae la lista, la usa para descargar y ejecutar la carga útil final de una de las URL.
El punto importante sobre la comunicación con GitHub es que el retraso de una semana se establece en el código antes de que se realice la solicitud a GitHub. Una vez realizado este paso, la carga útil final se descarga de una de las URL y se ejecuta…
Tan pronto como se informó de la versión troyanizada de 3CXDesktopApp, todas las protecciones relevantes se propagaron a través de todos los productos de Check Point. Si usted es un cliente de 3CX y también un cliente de Check Point, está protegido (sin necesidad de parches).
Para obtener más información técnica, consulte esto Blog de Check Point. ¿Quieres estar al día de las tendencias en tecnología? Echa un vistazo a la CyberTalk.org boletín de noticias! Regístrese hoy para recibir artículos de noticias de primer nivel, mejores prácticas y análisis de expertos; entregado directamente a su bandeja de entrada.
Post Ataque malicioso a la cadena de suministro golpea la aplicación de escritorio 3CX apareció primero en Charla cibernética.