Kaspersky informa sobre un incidente de ataque masivo a la cadena de suministro que se dirigió a un reducido grupo de empresas dedicadas a criptomonedas

Un ataque a la cadena de suministro instaló una puerta trasera en ordenadores de todo el mundo, pero sólo se ha desplegado en menos de diez equipos, según ha informado la empresa de ciberseguridad Kaspersky. Los despliegues mostraron un interés particular en las empresas de criptomoneda, añadió.

La empresa de ciberseguridad Crowdstrike informó el 29 de marzo de que había identificado actividad maliciosa en la aplicación de softphone 3CX 3CXDesktopApp. La aplicación está dirigida a clientes corporativos. La actividad maliciosa detectada incluía “balizamiento a la infraestructura controlada por el actor, despliegue de cargas útiles de segunda etapa y, en un pequeño número de casos, actividad manual en el teclado”.

Kaspersky dijo que sospechaba de la participación del actor de amenazas Labyrinth Chollima, vinculado a Corea del Norte. 3CX se refirió a la infección:

“Esto parece haber sido un ataque dirigido de una Amenaza Persistente Avanzada, tal vez incluso patrocinada por el Estado, que ejecutó un complejo ataque a la cadena de suministro y eligió quién descargaría las siguientes etapas de su malware”.

Kaspersky ya estaba investigando una biblioteca de vínculos dinámicos (DLL) encontrada en uno de los archivos .exe de 3CXDesktopApp infectados, dijo. La DLL en cuestión se había utilizado para distribuir el backdoor Gopuram, aunque no era la única carga maliciosa desplegada en el ataque. Se ha descubierto que Gopuram coexiste con el backdoor AppleJeus atribuido al grupo norcoreano Lazarus, añadió Kaspersky.

El software 3CX infectado se ha detectado en todo el mundo, con las mayores cifras de infección en Brasil, Alemania, Italia y Francia. Sin embargo, Gopuram se ha desplegado en menos de diez ordenadores, en un alarde de “precisión quirúrgica”, dijo Kaspersky. En el pasado ya había encontrado una infección de Gopuram en una empresa de criptomonedas del sudeste asiático.

🔍If you are looking for a comprehensive overview of the current #3CX supply chain attack, I created a diagram that shows the attack flow!💥I'll update as soon as the analysis progresses. Stay tuned for the MacOS edition! #cybersecurity #infosec #supplychainattack #3CXpocalypse pic.twitter.com/ANVLCgExmU

— Thomas Roccia 🤘 (@fr0gger_) March 31, 2023

La app 3CX es utilizada por más de 600,000 empresas, entre ellas varias grandes marcas, dijo Kapersky citando al fabricante. La aplicación infectada tenía la certificación DigiCert.

Descargo de Responsabilidad: Este comunicado de prensa es sólo para fines informativos, la información no constituye consejo de inversión o una oferta para invertir. Las opiniones expresadas en este artículo son las del autor y no representan necesariamente los puntos de vista de CriptomonedaseICO, y no deben ser atribuidas a, CriptomonedaseICO.

Nota importante: han habido informes de estafadores que se acercan a empresas a través de Emails, Telegram, LinkedIn y otras plataformas sociales que pretenden representar a CRIPTOMONEDASEICO y ofrecer pautas publicitarias. Nunca nos acercaremos a nadie directamente.Por favor, siempre póngase en contacto con nosotros a través de nuestraPÁGINA DE CONTACTO AQUÍ.