\n<\/aside>\n<\/p>\n
Los piratas inform\u00e1ticos que trabajan en nombre del gobierno de Corea del Norte han llevado a cabo un ataque masivo en la cadena de suministro contra los usuarios de Windows y macOS de 3CX, un cliente de escritorio de llamadas de voz y video ampliamente utilizado, dijeron investigadores de varias empresas de seguridad.<\/p>\n
A trav\u00e9s de medios que a\u00fan no est\u00e1n claros, el ataque logr\u00f3 distribuir las versiones de Windows y macOS de la aplicaci\u00f3n, que brinda servicios de VoIP y PBX a \u00abm\u00e1s de 600,000 clientes\u00bb, incluidos American Express, Mercedes-Benz y Price Waterhouse Cooper. Los atacantes de alguna manera obtuvieron la capacidad de ocultar malware dentro de las aplicaciones 3CX que fueron firmadas digitalmente usando la clave de firma oficial de la compa\u00f1\u00eda. La versi\u00f3n de macOS, seg\u00fan el experto en seguridad de macOS Patrick Wardle, tambi\u00e9n fue certificada ante notario por Apple, lo que indica que la empresa analiz\u00f3 la aplicaci\u00f3n y no detect\u00f3 ninguna funcionalidad maliciosa.<\/p>\n
En desarrollo desde 2022<\/h2>\n \u201cEste es un ataque cl\u00e1sico a la cadena de suministro, dise\u00f1ado para explotar las relaciones de confianza entre una organizaci\u00f3n y partes externas\u201d, dijo en un correo electr\u00f3nico Lotem Finkelstein, Director de Inteligencia e Investigaci\u00f3n de Amenazas en Check Point Software. \u201cEsto incluye asociaciones con proveedores o el uso de un software de terceros del que dependen la mayor\u00eda de las empresas de alguna manera. Este incidente es un recordatorio de cu\u00e1n cr\u00edtico es que hagamos nuestra diligencia debida en t\u00e9rminos de examinar con qui\u00e9n hacemos negocios\u201d.<\/p>\n
La firma de seguridad CrowdStrike dijo que la infraestructura y una clave de cifrado utilizada en el ataque coinciden con las vistas en una campa\u00f1a del 7 de marzo realizada por Labyrinth Chollima, el nombre de seguimiento de un actor de amenazas alineado con el gobierno de Corea del Norte.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nEl ataque sali\u00f3 a la luz el mi\u00e9rcoles por la noche, cuando los productos de varias compa\u00f1\u00edas de seguridad comenzaron a detectar actividad maliciosa proveniente de binarios firmados leg\u00edtimamente para las aplicaciones de escritorio de 3CX. Los preparativos para la operaci\u00f3n sofisticada comenzaron a m\u00e1s tardar en febrero de 2022, cuando el actor de amenazas registr\u00f3 un conjunto en expansi\u00f3n de dominios utilizados para comunicarse con dispositivos infectados. Para el 22 de marzo, la firma de seguridad Sentinel One vio un aumento en las detecciones de comportamiento de 3CXDesktopApp. Ese mismo d\u00eda, los usuarios de 3CX iniciaron hilos en l\u00ednea discutiendo lo que cre\u00edan que eran posibles detecciones de falsos positivos de 3CXDesktopApp por parte de sus aplicaciones de seguridad de punto final.<\/p>\n
El Director de Seguridad de la Informaci\u00f3n de 3CX, Pierre Jourdan, ha confirmado que la aplicaci\u00f3n Electron para Windows con los n\u00fameros de versi\u00f3n 18.12.407 y 18.12.416 y las versiones 18.11.1213, 18.12.402, 18.12.407 y 18.12.416 de la aplicaci\u00f3n Electron para Mac incluyen una \u00abseguridad asunto.\u00bb Dijo que las cargas \u00fatiles se insertaron en bibliotecas agrupadas compiladas a trav\u00e9s de Git, un sistema que los desarrolladores de software usan para rastrear los cambios en las aplicaciones que producen. Muchos de los servidores controlados por atacantes a los que llegan las m\u00e1quinas infectadas ya se han cerrado, agreg\u00f3.<\/p>\n
envenenando el pozo<\/h2>\n El incidente recuerda a un ataque a la cadena de suministro detectado en diciembre de 2020 que afect\u00f3 a los usuarios del software de gesti\u00f3n de red SolarWinds. El gobierno de EE. UU. y varios investigadores de seguridad atribuyeron el ataque a Cozy Bear, uno de los nombres de seguimiento de un grupo de pirater\u00eda que se cree que forma parte del Servicio de Seguridad Federal de Rusia (FSB). Como es el caso de 3CX, los piratas inform\u00e1ticos de SolarWinds pudieron distribuir una actualizaci\u00f3n de puerta trasera firmada digitalmente a aproximadamente 18,000 clientes. Alrededor de 100 de ellos recibieron ataques de seguimiento que usaron la puerta trasera para instalar una carga \u00fatil de segunda etapa. Las v\u00edctimas incluyeron a las empresas tecnol\u00f3gicas Malwarebytes, FireEye y Microsoft; 10 agencias del gobierno de EE. UU., incluidos los Departamentos de Justicia, Comercio, Tesoro, Energ\u00eda y Seguridad Nacional, y grupos de expertos y ONG, hacen que la campa\u00f1a de pirater\u00eda sea una de las peores en la historia moderna de EE. UU.<\/p>\n
El an\u00e1lisis preliminar de Symantec indica que los instaladores comprometidos para Windows y Mac contienen versiones limpias de la aplicaci\u00f3n con todas sus funciones normales, lo que evita que los usuarios finales sospechen que algo anda mal. Los atacantes agregaron una carga \u00fatil adicional a trav\u00e9s de una t\u00e9cnica conocida como DLL Sideloading, que agrega funcionalidad maliciosa, dijo Sophos.<\/p>\n\n Anuncio <\/span> <\/p>\n<\/aside>\nLa carga \u00fatil estaba cifrada y conten\u00eda otras defensas dise\u00f1adas para evitar la detecci\u00f3n o el an\u00e1lisis. Hace que las m\u00e1quinas infectadas se dirijan a servidores controlados por actores y, seg\u00fan criterios desconocidos, el despliegue de cargas \u00fatiles de segunda etapa a ciertos objetivos, dijo CrowdStrike. En unos pocos casos, los atacantes llevaron a cabo \u201cactividades manuales en el teclado\u201d en las m\u00e1quinas infectadas.<\/p>\n
En el caso de las versiones troyanizadas de Windows, dijeron los investigadores de CheckPoint, los atacantes usaron un ejecutable MSI firmado con la clave de 3CX para cargar un archivo malicioso llamado ffmmpeg.dll. El archivo se modific\u00f3 para leer datos cifrados de otro archivo llamado d3dcompiler_47.dll. Este \u00faltimo archivo extrajo una lista codificada de URL que los atacantes almacenaron en un archivo de GitHub. Luego, el archivo DLL us\u00f3 la lista para descargar y ejecutar una carga \u00fatil final desde una de las URL.<\/p>\n
\u201cEl punto importante sobre la comunicaci\u00f3n con GitHub es que el retraso de una semana se establece en el c\u00f3digo antes de que se produzca realmente la solicitud a GitHub\u201d, escribieron los investigadores de CheckPoint. \u00abDespu\u00e9s de que este paso finalmente se lleva a cabo, la carga \u00fatil final se descarga de una de estas URL y se ejecuta\u00bb.<\/p>\n
CheckPoint proporcion\u00f3 la siguiente ilustraci\u00f3n de la cadena de infecci\u00f3n de Windows:<\/p>\n\nControl<\/p>\n<\/figcaption><\/figure>\n
Cualquier organizaci\u00f3n que utilice 3CX debe comenzar de inmediato a analizar su infraestructura de red para buscar signos de compromiso. CrowdStrike recomienda que todos los usuarios de 3CX dejen de usar el software al menos temporalmente mientras las investigaciones est\u00e1n pendientes. Sophos proporcion\u00f3 un script que determinar\u00e1 si las redes se han comunicado con la infraestructura del actor de amenazas. Sophos y otras empresas tambi\u00e9n han publicado dominios, archivos hash y otros indicadores de compromiso que los usuarios de 3CX pueden usar.<\/p>\n<\/p><\/div>\n
\nSource link-49<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"im\u00e1genes falsas Los piratas inform\u00e1ticos que trabajan en nombre del gobierno de Corea del Norte han llevado a cabo un ataque masivo en la cadena de suministro contra los usuarios…<\/p>\n","protected":false},"author":1,"featured_media":549096,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21980],"tags":[84643,4938,1089,1956,133,246,15203,8,4541,3272,15,1957,56374,6512,5104],"_links":{"self":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/549095"}],"collection":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/comments?post=549095"}],"version-history":[{"count":1,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/549095\/revisions"}],"predecessor-version":[{"id":549097,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/posts\/549095\/revisions\/549097"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media\/549096"}],"wp:attachment":[{"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/media?parent=549095"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/categories?post=549095"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/magazineoffice.com\/wp-json\/wp\/v2\/tags?post=549095"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}