Uma investigação sobre o ataque à cadeia de suprimentos da 3CX, ocorrido no mês passado, descobriu que ele foi causado por outra violação da cadeia de suprimentos em que atacantes suspeitos da Coreia do Norte invadiram o site da Trading Technologies, uma empresa de automação de negociação de ações, para enviar builds de software trojanizados.
"Acreditamos que há várias organizações que ainda não sabem que estão comprometidas", disse o CTO da Mandiant Consulting, Charles Carmakal, ao BleepingComputer.
"Estamos esperançosos de que, uma vez que divulgarmos essas informações, ajudará a acelerar o processo para as empresas determinarem que estão comprometidas e conterem seus incidentes."
O instalador malicioso do software X_TRADER da Trading Technologies, baixado e instalado no computador pessoal de um funcionário, implantou o backdoor modular de vários estágios VEILEDSIGNAL, projetado para executar shellcode, injetar um módulo de comunicação nos processos do Chrome, Firefox ou Edge e se encerrar.
De acordo com a Mandiant, a empresa de cibersegurança que ajudou a 3CX a investigar o incidente, o grupo de ameaças (rastreado como UNC4736) por trás do ataque roubou credenciais corporativas do dispositivo do funcionário e as usou para se movimentar lateralmente pela rede da 3CX, eventualmente invadindo os ambientes de compilação do Windows e do macOS.
"No ambiente de compilação do Windows, o atacante implantou o lançador TAXHAUL e o downloader COLDCAT, que persistiram realizando sequestro de DLL para o serviço IKEEXT e rodaram com privilégios do LocalSystem", disse a Mandiant.
"O servidor de compilação do macOS foi comprometido com o backdoor POOLRAT, usando LaunchDaemons como mecanismo de persistência."
O malware conseguiu persistência por meio do carregamento lateral de DLLs por meio de binários legítimos da Microsoft Windows, o que tornou mais difícil a detecção.
Ele também foi carregado automaticamente durante a inicialização, concedendo aos atacantes acesso remoto a todos os dispositivos comprometidos pela internet.
A Mandiant diz que o UNC4736 está relacionado ao grupo norte-coreano Lazarus Group, motivado financeiramente, por trás da Operação AppleJeus [1, 2, 3], que também foi vinculado pelo Grupo de
Análise de Ameaças (TAG) do Google ao comprometimento do site www.tradingtechnologies[.] com em um relatório de março de 2022.
Com base na sobreposição de infraestrutura, a empresa de cibersegurança também vinculou o UNC4736 a dois clusters de atividade maliciosa suspeita do APT43, rastreados como UNC3782 e UNC4469.
"Determinamos que o UNC4736 está ligado aos mesmos operadores norte-coreanos com base no aplicativo X_TRADER trojanizado, distribuído pelo mesmo site comprometido mencionado no blog TAG", disse Fred Plan, principal analista da Mandiant para o Google Cloud, ao BleepingComputer.
"Isso, combinado com semelhanças em TTPs e sobreposição em outras infraestruturas, nos dá uma confiança moderada de que esses operadores estão vinculados."
Em 29 de março, a 3CX reconheceu que seu cliente de desktop baseado em Electron, 3CXDesktopApp, havia sido comprometido para distribuir malware, um dia depois que surgiram notícias sobre um ataque à cadeia de suprimentos.
Levou mais de uma semana para a 3CX reagir aos relatórios dos clientes de que seu software havia sido identificado como malicioso por várias empresas de cibersegurança, incluindo CrowdStrike, ESET, Palo Alto Networks, SentinelOne e SonicWall.
Nick Galea, CEO da empresa, também disse após a divulgação do ataque que um binário ffmpeg usado pelo cliente de desktop 3CX pode ter sido o vetor de intrusão inicial.
No entanto, o FFmpeg negou as alegações de Galea, dizendo que fornece apenas código-fonte que não foi comprometido.
A 3CX aconselhou os clientes a desinstalar seu cliente de desktop Electron de todos os dispositivos Windows e macOS (um script de desinstalação em massa pode ser encontrado aqui) e mudar imediatamente para o aplicativo Web Client App, uma aplicação web progressiva (PWA), que fornece recursos semelhantes.
Em resposta à divulgação da 3CX, uma equipe de pesquisadores de segurança criou uma ferramenta baseada na web para ajudar os clientes da empresa a determinar se seu endereço IP foi potencialmente impactado pelo ataque à cadeia de suprimentos de março de 2023.
De acordo com o site oficial da empresa, o 3CX Phone System possui mais de 12 milhões de usuários diários e é utilizado por mais de 600.000 empresas em todo o mundo, incluindo organizações e empresas de alto perfil como American Express, Coca-Cola, McDonald's, Air France, IKEA, o Serviço Nacional de Saúde do Reino Unido e várias montadoras.
"A violação da cadeia de suprimentos de software identificada é a primeira que temos conhecimento que levou a uma violação adicional da cadeia de suprimentos de software", disse a Mandiant.
"Isso mostra o alcance potencial desse tipo de violação, especialmente quando um ator de ameaças pode encadear intrusões, como demonstrado nesta investigação."
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...