Un ataque a la cadena de suministro instaló una puerta trasera en ordenadores de todo el mundo, pero sólo se ha desplegado en menos de diez equipos, según ha informado la empresa de ciberseguridad Kaspersky. Los despliegues mostraron un interés particular en las empresas de criptomoneda, añadió.
La empresa de ciberseguridad Crowdstrike informó el 29 de marzo de que había identificado actividad maliciosa en la aplicación de softphone 3CX 3CXDesktopApp. La aplicación está dirigida a clientes corporativos. La actividad maliciosa detectada incluía "balizamiento a la infraestructura controlada por el actor, despliegue de cargas útiles de segunda etapa y, en un pequeño número de casos, actividad manual en el teclado".
Kaspersky dijo que sospechaba de la participación del actor de amenazas Labyrinth Chollima, vinculado a Corea del Norte. 3CX se refirió a la infección:
"Esto parece haber sido un ataque dirigido de una Amenaza Persistente Avanzada, tal vez incluso patrocinada por el Estado, que ejecutó un complejo ataque a la cadena de suministro y eligió quién descargaría las siguientes etapas de su malware".
Kaspersky ya estaba investigando una biblioteca de vínculos dinámicos (DLL) encontrada en uno de los archivos .exe de 3CXDesktopApp infectados, dijo. La DLL en cuestión se había utilizado para distribuir el backdoor Gopuram, aunque no era la única carga maliciosa desplegada en el ataque. Se ha descubierto que Gopuram coexiste con el backdoor AppleJeus atribuido al grupo norcoreano Lazarus, añadió Kaspersky.
El software 3CX infectado se ha detectado en todo el mundo, con las mayores cifras de infección en Brasil, Alemania, Italia y Francia. Sin embargo, Gopuram se ha desplegado en menos de diez ordenadores, en un alarde de "precisión quirúrgica", dijo Kaspersky. En el pasado ya había encontrado una infección de Gopuram en una empresa de criptomonedas del sudeste asiático.
If you are looking for a comprehensive overview of the current #3CX supply chain attack, I created a diagram that shows the attack flow!I'll update as soon as the analysis progresses. Stay tuned for the MacOS edition! #cybersecurity #infosec #supplychainattack #3CXpocalypse pic.twitter.com/ANVLCgExmU
— Thomas Roccia (@fr0gger_) March 31, 2023
La app 3CX es utilizada por más de 600,000 empresas, entre ellas varias grandes marcas, dijo Kapersky citando al fabricante. La aplicación infectada tenía la certificación DigiCert.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigue leyendo:
- Hackers norcoreanos utilizan criptomonedas robadas para minar más monedas a través de servicios en la nube
- El hacker de Euler Labs devuelve "todos los fondos recuperables"
- La senadora Warren promete volver a presentar un proyecto de ley contra el blanqueo de capitales que incluya a las DAO y DeFi
- BitGo parchea una vulnerabilidad detectada en el acceso anticipado de las billeteras ETH TSS
- DefiLlama: 7 ataques a protocolos DeFi en febrero resultaron en USD 21 millones en fondos robados
- El ataque a Euler provoca el bloqueo de tokens y pérdidas en 11 protocolos DeFi, incluido Balancer
- Según Coinbase, las criptomonedas podrían suprimir hasta un 97% de los cargos del sistema de transferencia de remesas convencionales