Redazione RHC : 26 Aprile 2023 07:17
Ne avevamo parlato qualche tempo fa di questo incidente informatico.
Ma da un’indagine più approfondita che ha colpito 3CX il mese scorso, è stato rilevato che l’incidente è stato causato da un’altra compromissione della catena di approvvigionamento.
3CX è uno sviluppatore di soluzioni VoIP il cui sistema telefonico 3CX è utilizzato da più di 600.000 aziende in tutto il mondo, con più di 12.000.000 di utenti giornalieri. L’elenco dei clienti dell’azienda comprende giganti come American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA e HollidayInn.
L’attacco alla 3CX è avvenuto alla fine di marzo 2023. Un client desktop basato su Electron, 3CXDesktopApp, è stato compromesso e utilizzato per distribuire malware ai clienti dell’azienda.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Sfortunatamente, i rappresentanti di 3CX hanno impiegato più di una settimana per rispondere alle numerose segnalazioni dei clienti secondo cui il suo software era provvisto di malware, sebbene gli esperti di diverse grandi società di sicurezza delle informazioni lo abbiano segnalato contemporaneamente, tra cui CrowdStrike, ESET, Palo Alto Networks, SentinelOne e SonicWall.
Quando l’attacco informatico era già diventato ovvio, il capo di 3CX ha affermato che il file binario ffmpeg utilizzato dal client desktop 3CX poteva fungere da vettore di penetrazione iniziale. Tuttavia, FFmpeg ha negato queste accuse.
Di conseguenza, 3CX ha consigliato ai propri clienti di rimuovere il client desktop dannoso da tutti i dispositivi Windows e macOS e di passare immediatamente all’app Web Client, un’applicazione Web progressiva (PWA) che fornisce funzionalità simili.
Come è diventato noto ora, l’attacco a 3CX è avvenuto a seguito della compromissione di un’altra catena di approvvigionamento. Gli esperti di Mandiant, che hanno aiutato 3CX a indagare sull’incidente, hanno affermato che tutto è iniziato quando un programma di installazione X_Trader trojan di Trading Technologies è stato scaricato e installato sul personal computer di un dipendente di 3CX.
Ciò ha portato all’installazione di una backdoor modulare chiamata VEILEDSIGNAL progettata per eseguire shellcode, inserire il modulo di comunicazione nei processi Chrome, Firefox e Edge e quindi autodistruggersi.
Di conseguenza, il gruppo, che i ricercatori tracciano con l’identificatore UNC4736, ha utilizzato del mslware per iniziare il loro attacco, seguito da movimenti laterali nella rete 3CX, compromettendo infine gli ambienti di build per Windows e macOS.
Ovvero, la compromissione iniziale del sito di Trading Technologies è avvenuta più di un anno fa: la versione dannosa di X_Trader, dotata della backdoor VEILEDSIGNAL, era disponibile per il download all’inizio del 2022, e l’hack vero e proprio è avvenuto alla fine del 2021. Allo stesso tempo, non è del tutto chiaro dove esattamente il dipendente 3CX abbia trovato la versione trojanizzata di X_Trader nel 2023.
Secondo gli esperti, il gruppo UNC4736 è associato al gruppo di hacker Lazarus della Corea del Nord, motivato finanziariamente.
Sulla base della duplicazione dell’infrastruttura, gli analisti hanno anche collegato UNC4736 ad altri due cluster APT43 tracciati come UNC3782 e UNC4469.
“Abbiamo stabilito che UNC4736 è associato agli stessi operatori nordcoreani sulla base dell’analisi dell’applicazione X_TRADER trojanizzata, che è stata distribuita attraverso un sito compromesso menzionato in precedenza nel blog di Google Threat Analysis Group (www.tradingtechnologies[.] com )“.
RedazioneMentre l’ondata di caldo e il desiderio di una pausa estiva spingono milioni di persone verso spiagge e città d’arte, i criminali informatici non vanno in vacanza. Anzi, approfittan...
Di recente, i criminali informatici si sono nuovamente concentrati su vecchie vulnerabilità presenti nelle popolari telecamere Wi-Fi e nei DVR D-Link. La Cybersecurity and Infrastructure Security...
Per decenni abbiamo celebrato il digitale come la promessa di un futuro più connesso, efficiente e democratico. Ma oggi, guardandoci intorno, sorge una domanda subdola e inquietante: e se fossimo...
Per quanto riguarda i compiti banali che i robot umanoidi potrebbero presto svolgere per noi, le possibilità sono ampie. Fare il bucato è probabilmente in cima alla lista dei desideri di mol...
Domenica scorsa, Red Hot Cyber ha pubblicato un approfondimento sull’aumento delle attività malevole da parte del ransomware AKIRA, che sembrerebbe sfruttare una vulnerabilità 0-day n...
