Los clientes de 3CX, un proveedor de tecnología de comunicaciones unificadas, están siendo atacados por un actor de amenazas persistentes avanzadas (APT) vinculado a Corea del Norte en un ataque a la cadena de suministro que se propaga a través de una actualización comprometida de uno de sus productos.
El incidente en desarrollo fue señalado inicialmente de forma independiente por las empresas de seguridad cibernética CrowdStrike y Sophos después de ser detectado en su telemetría.
CrowdStrike dijo que había observado “actividad maliciosa inesperada” que emanaba de un binario legítimo y firmado, el softphone 3CXDesktopApp. Esta actividad incluyó balizamiento a la infraestructura controlada por el actor, implementación de cargas útiles de segunda etapa y, en algunos casos, actividad de teclado “práctica”. Dijo que había visto esta actividad en los sistemas Windows y macOS.
Mientras tanto, Sophos informó de una actividad similar, aunque limitada por sus cálculos a los entornos de Windows. Agregó que tiene evidencia de que los actores de amenazas detrás de él están utilizando un servicio de almacenamiento en la nube pública para alojar su malware codificado.
Mat Gangwer, vicepresidente de respuesta a amenazas administradas en Sophos, dijo: “Sophos identificó por primera vez la actividad maliciosa derivada de un aparente ataque en la cadena de suministro contra la aplicación 3CXDesktopApp y que afectó a nuestros clientes después de buscar la actividad reportada el 29 de marzo.
“3CX es un sistema telefónico comercial legítimo y ampliamente utilizado en todo el mundo”, dijo a Computer Weekly en comentarios enviados por correo electrónico. “Los atacantes han logrado manipular la aplicación para agregar un instalador que usa DLL [Dynamic Link Library] sideloading para finalmente recuperar una carga maliciosa codificada. Las tácticas y técnicas no son novedosas, son similares a la actividad de carga lateral de DLL que hemos informado anteriormente. Hemos identificado tres de los componentes cruciales de este escenario de descarga local de DLL integrados en el paquete del proveedor”.
“Continuaremos brindando actualizaciones continuas a medida que se desarrolle esta situación”, dijo Gangwer. “Mientras tanto, Sophos bloqueó la actividad maliciosa al publicar la siguiente protección: Troj/Loader-AF, bloqueó la lista de dominios C2 conocidos asociados con la amenaza y continuará agregando a esa lista en el archivo IoC en nuestro GitHub. . También recomendamos que los usuarios consulten el blog de 3CX para cualquier comunicación oficial de la empresa”.
CrowdStrike también dijo que pudo vincular el ataque a un grupo norcoreano al que rastrea como Labyrinth Chollima, que tiene cierta superposición con el notorio Lazarus APT. Sophos no ha hecho una atribución en el momento de escribir este artículo.
En un comunicado emitido el jueves 30 de marzo, el director de seguridad de la información de 3CX, Pierre Jourdan, confirmó que la actualización 7, números de versión 18.12.407 y 18.12.416 de su aplicación Electron Windows incluía un “problema de seguridad” que ha activado programas antivirus. El problema parece ser con una de las bibliotecas incluidas compiladas en Electron a través de Git. Actualmente se está llevando a cabo una investigación más extensa.
“Ya se informó sobre los dominios contactados por esta biblioteca comprometida, y la mayoría se eliminó de la noche a la mañana”, dijo. “También se cerró un repositorio de Github que los enumeraba, lo que lo vuelve inofensivo.
“Esto parece haber sido un ataque dirigido de una APT, tal vez incluso patrocinado por el estado, que ejecutó un ataque complejo en la cadena de suministro y eligió quién descargaría las siguientes etapas de su malware. La gran mayoría de los sistemas, aunque tenían los archivos inactivos, de hecho nunca se infectaron”.
3CX actualmente está trabajando en una nueva versión de la aplicación Electron para Windows y emitirá nuevos certificados para ella. Por ahora, dijo Jourdan, los clientes pueden considerar usar su servicio PWA basado en la web.
“Mientras tanto, nos disculpamos profundamente por lo ocurrido y haremos todo lo que esté a nuestro alcance para compensar este error”, dijo.
Fundada en Chipre en 2005 como proveedor de tecnología IP PBX, 3CX cuenta con más de 12 millones de usuarios en aproximadamente 600.000 clientes. Su lista de clientes incluye empresas multinacionales como Air France, American Express, Carlsberg, Coca-Cola, Hilton, Honda, Ikea, PwC, Renault y Toyota, aunque actualmente no se sabe qué clientes pueden haberse visto afectados, y ninguno de los anteriores ha hecho cualquier declaración sobre el incidente.