Mandiant de Google Cloud dice que ha observado lo que parece ser el primer caso de un ataque de doble cadena de suministro de software, después de descubrir evidencia que sugiere que el incidente generalizado de la cadena de suministro de 3CX solo ocurrió gracias a otro incidente de la cadena de suministro de software.
A fines de marzo, un compromiso de la cadena de suministro de software permitió que un actor de amenazas de Corea del Norte rastreado por Mandiant como UNC4736 (también conocido como Lazarus) propagara malware a través de una versión troyana de 3CX DesktopApp 18.12.416.
La aplicación 3CX contaminada ejecuta el descargador SUDDENICON que recupera los servidores de comando y control (C2) de los archivos de iconos cifrados alojados en GitHub. El servidor C2 descifrado luego descarga una carga útil de tercera etapa, un minero de datos conocido como ICONICSTEALER.
Esto salió a la luz cuando las plataformas de detección de amenazas comenzaron a marcar y bloquear 3CX DesktopApp debido a actividad maliciosa.
Ahora parece que los sistemas de 3CX fueron infiltrados con un instalador con malware para la aplicación X_TRADER. X_TRADER es una plataforma de comercio de futuros desarrollada por Trading Technologies con sede en Chicago que se suspendió hace más de tres años.
El compromiso de la versión al final de su vida útil de X_TRADER fue sacado a la luz por primera vez por las nuevas cohortes de Mandiant en Google Threat Analysis Group (TAG) en febrero de 2023. Esta investigación alegó que su sitio web había sido comprometido por Lazarus a través de una ejecución remota de código ( RCE) en el navegador Chrome y alojaba un iFrame oculto para explotar a los visitantes.
En ese momento, Google TAG determinó que esta actividad se superponía con un grupo de actividad de Lazarus conocido como AppleJEUS, que es un malware que utiliza para atacar plataformas de criptomonedas.
Habiendo accedido a 3CX a través de la versión contaminada de X_TRADER, Lazarus pudo recolectar credenciales y moverse lateralmente a través de los sistemas de 3CX, comprometiendo eventualmente sus entornos de construcción de Windows y macOS y permitiéndole jugar con DesktopApp.
“El compromiso de la cadena de suministro de software identificado es el primero del que tenemos conocimiento y que ha llevado a un compromiso adicional de la cadena de suministro de software”, escribió el equipo de investigación de Mandiant en un nuevo blog de divulgación.
“Muestra el alcance potencial de este tipo de compromiso, particularmente cuando un actor de amenazas puede encadenar intrusiones como se demostró en esta investigación. La investigación sobre la actividad de UNC4736 sugiere que lo más probable es que esté vinculado a actores de amenazas de Corea del Norte motivados financieramente.
“El uso de compromisos de la cadena de suministro de software también demuestra que los operadores respaldados por el régimen pueden aprovechar los accesos a la red de formas creativas para distribuir malware, un cierto grado de sofisticación para desarrollar malware modular, cruzar a otras verticales y permitir campañas de intrusión de seguimiento. para una amplia gama de operaciones ofensivas alineadas con los intereses y prioridades del régimen de Corea del Norte”, dijeron.
Un portavoz de Trading Technologies le dijo a Computer Weekly: “Dado que esto solo nos llamó la atención la semana pasada, no hemos tenido la capacidad de verificar las afirmaciones en el informe de Mandiant. Lo que sí sabemos con certeza es que 3CX no es un proveedor ni un cliente de Trading Technologies. No existe ninguna relación comercial entre las dos empresas. No tenemos idea de por qué un empleado de 3CX habría descargado X_TRADER.
“El software X_TRADER al que se hace referencia en el informe de Mandiant era un paquete de software comercial profesional para el comercio de derivados institucionales que se desmanteló en abril de 2020. Nuestros clientes recibieron múltiples comunicaciones durante el período de extinción de 18 meses notificándoles que ya no apoyaríamos ni daríamos servicio a X_TRADER más allá de abril. 2020.
“No había ninguna razón para que alguien descargara el software dado que TT dejó de alojar, brindar soporte y dar servicio a X_TRADER después de principios de 2020. También enfatizaríamos que este incidente no tiene ninguna relación con la plataforma TT actual”.
Amplio soporte
A pesar de la confusión inicial y los mensajes mixtos sobre la fuente del ataque, 3CX ha estado trabajando extensamente junto a Mandiant durante su investigación. El 11 de abril, lanzó una nueva actualización de DesktopApp enfocada completamente en reforzar su resiliencia cibernética. También ha ampliado las suscripciones de los clientes existentes en tres meses.
“Nos ha abrumado la gran cantidad de apoyo de nuestros socios y clientes que nos han apoyado activamente en los foros con consejos prácticos y apoyo moral. Gracias”, escribió el CEO de 3CX, Nick Galea.
“A los innumerables investigadores y expertos en seguridad que publicaron información sobre el ataque y nos ayudaron a nosotros y a nuestros clientes a navegar el ataque, también estamos verdaderamente agradecidos”.
3CX cuenta con miles de clientes en todo el mundo, desde pequeñas empresas hasta organizaciones gubernamentales y del sector público, hasta grandes empresas.
No se ha revelado el número exacto de clientes que pueden haber sido afectados por ataques cibernéticos derivados del compromiso.