Según un informe de Symantec, el grupo de hackers responsable de un formidable ataque a la cadena de suministro El objetivo de la empresa de VoIP 3CX ha vuelto a atacar. Esta ciberbanda también habría penetrado en dos empresas de infraestructuras críticas del sector energético y en otras dos especializadas en comercio financiero utilizando la aplicación X_TRADER como troyano. De los dos objetivos vitales afectados, uno se encuentra en Estados Unidos y el otro en Europa, indicado el editor de seguridad.
La noticia de la vulneración de otras empresas llega un día después de Mandiant reveló que la aplicación troyanizada X_TRADER estaba detrás de la infracción de 3CX. "Los atacantes detrás de estas violaciones claramente tienen un modelo replicable de ataques a la cadena de suministro, y no se pueden descartar otros similares", dijo Symantec en su informe. El mes pasado, varios investigadores de seguridad informaron que la aplicación de escritorio 3CX contenía malware. La compañía confirmó esto y lanzó una actualización para la aplicación de escritorio.
Se esperan bombas de tiempo
Basándose en esta metodología, Mandiant atribuyó los ataques al grupo de hackers norcoreano Lazarus. Symantec también reconoce que los atacantes parecen estar vinculados con Corea del Norte. "Parece probable que el ataque a la cadena de suministro contra X_Trader tuviera una motivación financiera, ya que Trading Technologies, el desarrollador de X_Trader, facilita la venta de contratos de futuros, incluso en energía", dijo Symantec. La firma agrega que se sabe que los malos actores relacionados con Corea del Norte participan tanto en espionaje como en ataques con motivación financiera. "No se excluye que empresas de importancia estratégica que hayan sido objeto de una violación durante una campaña financiera puedan ser objeto de una explotación posterior", advirtió.
Según Mandiant, el ataque que comprometió la cadena de suministro de 3CX se llevó a cabo cuando los piratas informáticos obtuvieron acceso a la red y los sistemas de la empresa luego de otro ataque que finalmente involucró una aplicación de terceros en el comercio por contrato. Los piratas informáticos obtuvieron acceso a la red de 3CX después de que uno de los empleados de la compañía instalara una plataforma de comercio de futuros llamada X_TRADER de Trading Technologies en su computadora personal en 2022. Este software había sido equipado con una puerta trasera como parte de un ataque a la cadena de suministro. El software X_TRADER se suspendió en 2020, pero aún era posible descargarlo desde el sitio web de la compañía en 2022. Este es el primer ataque que compromete la cadena de suministro que condujo a una cascada de compromiso, dijo Mandiant. Los atacantes lograron ingresar lateralmente a la red de 3CX e inyectaron bibliotecas maliciosas en las versiones de Windows y MacOS de su solución Electron.
Un ladrón de datos en acción
La versión troyanizada de la aplicación de escritorio 3CX primero implementó un descargador de malware intermedio que se conectaba a un repositorio de GitHub para obtener direcciones de comando y control ocultas en archivos de íconos, dijo Mandiant, contratado por 3CX para investigar el incidente. ¿Qué sigue? Este programa de descarga se puso en contacto con un servidor de comando y control y luego implementó un ladrón para recopilar datos de configuración de la aplicación y el historial del navegador. Muy clásico pero muy efectivo en general.
Otras noticias que te pueden interesar