Home Ciberguerra Ciberdelincuentes norcoreanos, descubiertos como autores intelectuales del ataque a la cadena de...

Ciberdelincuentes norcoreanos, descubiertos como autores intelectuales del ataque a la cadena de suministro de 3CX

El proveedor de servicios de comunicaciones empresariales 3CX confirmó que el ataque a la cadena de suministro dirigido a su aplicación de escritorio para Windows y macOS fue obra de un actor de amenazas con nexo norcoreano.

Los hallazgos son el resultado de una evaluación provisional realizada por Mandiant, propiedad de Google, cuyos servicios fueron contratados después de que la intrusión saliera a la luz a finales del mes pasado. La unidad de inteligencia sobre amenazas y respuesta a incidentes está siguiendo la actividad bajo el nombre no categorizado de UNC4736.

Cabe señalar que la empresa de ciberseguridad CrowdStrike ha atribuido el ataque a un subgrupo de Lazarus denominado Labyrinth Chollima, citando solapamientos tácticos.

La cadena de ataque, basada en análisis de múltiples proveedores de seguridad, implicaba el uso de técnicas de carga lateral de DLL para cargar un ladrón de información conocido como ICONIC Stealer, seguido de una segunda etapa llamada Gopuram en ataques selectivos dirigidos a empresas de criptomonedas.

La investigación forense de Mandiant ha revelado ahora que los actores de la amenaza infectaron los sistemas 3CX con un malware de nombre en código TAXHAUL diseñado para descifrar y cargar shellcode que contiene un “descargador complejo” denominado COLDCAT.

La compañía dijo además que la DLL maliciosa (wlbsctrl.dll) fue cargada por el servicio Windows IKE and AuthIP IPsec Keying Modules (IKEEXT) a través de svchost.exe, un proceso legítimo del sistema.

Al parecer, los sistemas macOS objeto del ataque fueron atacados con otra cepa de malware denominada SIMPLESEA, un malware basado en C que se comunica a través de HTTP para ejecutar comandos de shell, transferir archivos y actualizar configuraciones.

Se ha observado que las familias de malware detectadas en el entorno 3CX contactan con al menos cuatro servidores de mando y control (C2): azureonlinecloud[.]com, akamaicontainer[.]com, journalide[.]org y msboxonline[.]com.