Organizaciones de infraestructura crítica afectadas por vulneración de 3CX

El ataque a la cadena de suministro de software X_Trader que condujo a la violación de 3CX del mes pasado también ha afectado al menos a varias organizaciones de infraestructura crítica en los Estados Unidos y Europa, según el equipo de cazadores de amenazas de Symantec.

El grupo de amenazas respaldado por Corea del Norte vinculado a los ataques Trading Technologies y 3CX utilizó un instalador troyano para X_Trader software para implementar la puerta trasera modular de múltiples etapas VEILEDSIGNAL en los sistemas de las víctimas.

Una vez instalado, el malware podría ejecutar shellcode malicioso o inyectar un módulo de comunicación en los procesos de Chrome, Firefox o Edge que se ejecutan en sistemas comprometidos.

"La investigación inicial realizada por el equipo de cazadores de amenazas de Symantec ha encontrado, hasta la fecha, que entre las víctimas se encuentran dos organizaciones de infraestructura crítica en el sector energético, una en los Estados Unidos y la otra en Europa", dijo la compañía en un informe publicado hoy.

"Además de esto, otras dos organizaciones involucradas en el comercio financiero también fueron violadas".

Si bien el compromiso de la cadena de suministro de Trading Technologies es el resultado de una campaña motivada financieramente, la violación de múltiples organizaciones de infraestructura crítica es preocupante, ya que los grupos de piratería respaldados por Corea del Norte también son conocidos por el espionaje cibernético.

Es muy probable que las organizaciones estratégicas comprometidas como parte de este ataque a la cadena de suministro también sean seleccionadas para su posterior explotación.

Si bien Symantec no nombró a las dos organizaciones del sector energético, el director de respuesta de seguridad del equipo de Symantec Threat Hunter, Eric Chien, dijo a BleepingComputer que son "proveedores de energía que generan y suministran energía a la red".

Ataque de gran alcance a la cadena de suministro
Después de haber violado al menos cuatro entidades más además de 3CX con la ayuda del software X_Trader troyanos, también es muy probable que la campaña de piratería de Corea del Norte ya haya afectado a víctimas adicionales aún por descubrir.

"El descubrimiento de que 3CX fue violado por otro ataque anterior a la cadena de suministro hizo que fuera muy probable que más organizaciones se vieran afectadas por esta campaña, que ahora resulta ser mucho más amplia de lo que se creía originalmente", agregó Symantec.

"Los atacantes detrás de estas violaciones claramente tienen una plantilla exitosa para los ataques a la cadena de suministro de software y, además, no se pueden descartar ataques similares".

El jueves, Mandiant vinculó a un grupo de amenazas norcoreano que rastrea como UNC4736 con el ataque en cascada a la cadena de suministro que afectó a la compañía de VoIP 3CX en marzo.

UNC4736 está relacionado con el Grupo Lazarus patrocinado por Corea del Norte motivado financieramente detrás de la Operación AppleJeus [1, 2, 3], previamente vinculado por el Grupo de Análisis de Amenazas (TAG) de Google al compromiso del sitio web de Trading Technologies.

Basándose en la superposición de la infraestructura de ataque, Mandiant también conectó UNC4736 con dos clústeres de actividad maliciosa APT43 rastreados como UNC3782 y UNC4469.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta