A empresa de comunicações VoIP 3CX confirmou hoje que um grupo de hackers norte-coreanos foi responsável pelo ataque à cadeia de suprimentos do mês passado.
"Com base na investigação da Mandiant sobre a intrusão e o ataque à cadeia de suprimentos da 3CX até agora, eles atribuem a atividade a um cluster chamado UNC4736.
A Mandiant avalia com alta confiança que o UNC4736 tem uma conexão norte-coreana", disse o CISO da 3CX, Pierre Jourdan, hoje.
Os atacantes infectaram os sistemas da 3CX com malware conhecido como Taxhaul (ou TxRLoader), que implantou um downloader de malware de segunda etapa chamado Coldcat pela Mandiant.
O malware alcançou persistência em sistemas comprometidos por meio do carregamento lateral de DLLs por meio de binários legítimos do Microsoft Windows, tornando-o mais difícil de detectar.
Além disso, ele carregava automaticamente durante a inicialização do sistema em todos os dispositivos infectados, concedendo aos atacantes acesso remoto à internet.
"No Windows, o atacante usou o carregamento lateral de DLLs para alcançar a persistência do malware TAXHAUL.
A DLL foi carregada pelo serviço legítimo do Windows IKEEXT por meio do binário legítimo do Windows svchost.exe", disse Jourdan.
Os sistemas macOS visados no ataque também foram infectados com malware chamado Simplesea, que a Mandiant ainda está analisando para determinar se se sobrepõe a famílias de malware conhecidas anteriormente.
"Os comandos de backdoor suportados incluem execução de comando shell, transferência de arquivo, execução de arquivo, gerenciamento de arquivo e atualização de configuração.
Ele também pode ser encarregado de testar a conectividade de um IP e número de porta fornecidos", acrescentou Jourdan.
O malware implantado pelo UNC4736 na rede da 3CX conectou-se a vários servidores de comando e controle (C2) sob o controle dos atacantes, incluindo azureonlinecloud[.]com, akamaicontainer[.]com, journalide[.]org e msboxonline[.]com.
A 3CX ainda não divulgou como o ataque à cadeia de suprimentos foi realizado em primeiro lugar, se seu ambiente de desenvolvimento foi comprometido ou por meio de algum outro método.
Desde que o ataque foi revelado pela primeira vez, a Kaspersky também descobriu que um backdoor conhecido como Gopuram, usado pelo grupo de hackers norte-coreano Lazarus contra empresas de criptomoedas desde pelo menos 2020, também foi implantado como payload de segunda etapa no mesmo incidente nos dispositivos comprometidos de um número limitado de clientes da 3CX.
A 3CX confirmou pela primeira vez que seu cliente de desktop 3CXDesktopApp baseado em Electron foi comprometido em um ataque à cadeia de suprimentos para implantar malware um dia depois que as notícias do ataque surgiram em 29 de março e mais de uma semana depois que os clientes começaram a relatar que o software estava sendo marcado como malicioso por soluções de segurança da SentinelOne, CrowdStrike, ESET, Palo Alto Networks e SonicWall.
A empresa aconselhou os clientes a desinstalar o cliente de desktop Electron impactado de todos os dispositivos Windows e macOS (um script de desinstalação em massa está disponível aqui) e imediatamente mudar para o aplicativo de cliente da web progressivo (PWA) Web Client App, que oferece recursos semelhantes.
Depois que o incidente (rastreado como
CVE-2023-29059
) foi divulgado, o BleepingComputer também informou que os atores ameaçadores exploraram uma vulnerabilidade do Windows de 10 anos (
CVE-2013-3900
) para camuflar as DLLs maliciosas que agrupavam as payloads como assinadas legitimamente.
Os pesquisadores de segurança também criaram uma ferramenta baseada na web para ajudar os usuários da 3CX a descobrir se o ataque à cadeia de suprimentos de março de 2023 potencialmente afetou seu endereço IP.
A 3CX afirma que seu sistema de telefone 3CX é usado por mais de 600.000 empresas em todo o mundo e mais de 12 milhões de usuários diariamente, com a lista de clientes incluindo empresas e organizações de alto perfil como American Express, Coca-Cola, McDonald's, Air France, IKEA, o Serviço Nacional de Saúde do Reino Unido e vários fabricantes de automóveis.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...