El ataque a la cadena de suministro en la aplicación de llamadas de voz 3CX se remonta a un empleado de la empresa que instaló un programa legítimo, pero cargado de malware, en su computadora personal.
Los resultados(Se abre en una nueva ventana) provienen del proveedor de seguridad cibernética Mandiant, que 3CX contrató para realizar la investigación sobre cómo las aplicaciones de escritorio de la compañía se manipularon el mes pasado para servir código malicioso a los usuarios de Windows y Mac.
Mandiant descubrió evidencia de que la violación comenzó con otra empresa, llamada Trading Technologies, el desarrollador de la aplicación de comercio de futuros X_Trader. El año pasado, se detectaron presuntos hackers norcoreanos.(Se abre en una nueva ventana) comprometer el sitio web de la empresa.
Los mismos piratas informáticos manipularon la aplicación X_Trader y se la ofrecieron a posibles víctimas en el sitio web de una empresa. Como evidencia, Mandiant dice que la carga de malware X_La aplicación Trader se firmó con certificados de firma de código válidos a nombre de «Trading Technologies International, Inc.» que vencían en octubre de 2022.
El año pasado, un empleado de 3CX instaló X_Trader en su propia computadora personal, lo que allanó el camino para que los piratas informáticos violaran 3CX hace meses. “Mandiant evalúa que el actor de amenazas robó las credenciales corporativas de 3CX del empleado de su sistema”, dijo 3CX en su propio informe.(Se abre en una nueva ventana).
(Crédito: mandante)
“La evidencia más temprana de compromiso descubierta dentro del entorno corporativo de 3CX ocurrió a través de la VPN usando las credenciales corporativas del empleado dos días después de que la computadora personal del empleado fuera comprometida”, agregó la compañía. Una vez dentro de la red de 3CX, los piratas informáticos procedieron a robar otras credenciales de inicio de sesión para obtener acceso a los sistemas de creación de software internos para la versión de Windows y Mac de la aplicación de escritorio de 3CX.
Al igual que otras empresas de ciberseguridad, Mandiant también sospecha que los piratas informáticos detrás del ataque estaban afiliados a Corea del Norte. En los últimos años, los piratas informáticos del país se han hecho famosos por apuntar a usuarios y empresas en un esfuerzo por robar criptomonedas y entrar en los bancos.
Mandiant agrega que el incidente muestra cómo comprometer a un solo proveedor de software puede convertirse en una amenaza mayor. “Los compromisos de la cadena de suministro de software en cascada demuestran que los operadores de Corea del Norte pueden explotar el acceso a la red de formas creativas para desarrollar y distribuir malware”, agregó el proveedor de seguridad cibernética.
No está claro cuántos usuarios terminaron infectando los hackers a través de los ataques 3CX. Pero el proveedor de antivirus Kaspersky detectó evidencia de que los presuntos norcoreanos solo implementaron una puerta trasera «en menos de diez máquinas infectadas» que tenían 3CX instalado. También se desconoce cuántos usuarios instalaron la aplicación cargada de malware X_Trader, pero los usuarios que lo hicieron deben desinstalar el software de inmediato. .
Recomendado por Nuestros Editores
A pesar de la investigación, Trading Technologies indica que no tuvo necesariamente la culpa. De hecho, la compañía desmanteló el software X_Trader en 2020, aunque Mandiant afirma que todavía estaba disponible en el sitio web de la compañía hasta el año pasado.
“Nuestros clientes recibieron múltiples comunicaciones durante el período de extinción de 18 meses notificándoles que ya no daríamos soporte ni daríamos servicio a XTRADER más allá de abril de 2020”, dijo Trading Technologies. «No había ninguna razón para que alguien descargara el software dado que TT dejó de alojar, brindar soporte y brindar servicio a XTRADER después de principios de 2020. También enfatizaríamos que este incidente no tiene ninguna relación con la plataforma TT actual».
Trading Technologies agrega que solo se dio cuenta de los hallazgos la semana pasada. “No tenemos idea de por qué un empleado de 3CX habría descargado X_TRADER”, agregó.
Mientras tanto, 3CX sigue enfocada en reforzar la seguridad de la empresa tras el ataque a la cadena de suministro. La compañía ha creado nuevas aplicaciones de escritorio 3CX, que “han sido completamente revisadas y limpiadas y pueden considerarse seguras”. decía.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.