Redazione RHC : 26 Aprile 2023 07:17
Ne avevamo parlato qualche tempo fa di questo incidente informatico.
Ma da un’indagine più approfondita che ha colpito 3CX il mese scorso, è stato rilevato che l’incidente è stato causato da un’altra compromissione della catena di approvvigionamento.
3CX è uno sviluppatore di soluzioni VoIP il cui sistema telefonico 3CX è utilizzato da più di 600.000 aziende in tutto il mondo, con più di 12.000.000 di utenti giornalieri. L’elenco dei clienti dell’azienda comprende giganti come American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA e HollidayInn.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
L’attacco alla 3CX è avvenuto alla fine di marzo 2023. Un client desktop basato su Electron, 3CXDesktopApp, è stato compromesso e utilizzato per distribuire malware ai clienti dell’azienda.
Sfortunatamente, i rappresentanti di 3CX hanno impiegato più di una settimana per rispondere alle numerose segnalazioni dei clienti secondo cui il suo software era provvisto di malware, sebbene gli esperti di diverse grandi società di sicurezza delle informazioni lo abbiano segnalato contemporaneamente, tra cui CrowdStrike, ESET, Palo Alto Networks, SentinelOne e SonicWall.
Quando l’attacco informatico era già diventato ovvio, il capo di 3CX ha affermato che il file binario ffmpeg utilizzato dal client desktop 3CX poteva fungere da vettore di penetrazione iniziale. Tuttavia, FFmpeg ha negato queste accuse.
Di conseguenza, 3CX ha consigliato ai propri clienti di rimuovere il client desktop dannoso da tutti i dispositivi Windows e macOS e di passare immediatamente all’app Web Client, un’applicazione Web progressiva (PWA) che fornisce funzionalità simili.
Come è diventato noto ora, l’attacco a 3CX è avvenuto a seguito della compromissione di un’altra catena di approvvigionamento. Gli esperti di Mandiant, che hanno aiutato 3CX a indagare sull’incidente, hanno affermato che tutto è iniziato quando un programma di installazione X_Trader trojan di Trading Technologies è stato scaricato e installato sul personal computer di un dipendente di 3CX.
Ciò ha portato all’installazione di una backdoor modulare chiamata VEILEDSIGNAL progettata per eseguire shellcode, inserire il modulo di comunicazione nei processi Chrome, Firefox e Edge e quindi autodistruggersi.
Di conseguenza, il gruppo, che i ricercatori tracciano con l’identificatore UNC4736, ha utilizzato del mslware per iniziare il loro attacco, seguito da movimenti laterali nella rete 3CX, compromettendo infine gli ambienti di build per Windows e macOS.
Ovvero, la compromissione iniziale del sito di Trading Technologies è avvenuta più di un anno fa: la versione dannosa di X_Trader, dotata della backdoor VEILEDSIGNAL, era disponibile per il download all’inizio del 2022, e l’hack vero e proprio è avvenuto alla fine del 2021. Allo stesso tempo, non è del tutto chiaro dove esattamente il dipendente 3CX abbia trovato la versione trojanizzata di X_Trader nel 2023.
Secondo gli esperti, il gruppo UNC4736 è associato al gruppo di hacker Lazarus della Corea del Nord, motivato finanziariamente.
Sulla base della duplicazione dell’infrastruttura, gli analisti hanno anche collegato UNC4736 ad altri due cluster APT43 tracciati come UNC3782 e UNC4469.
“Abbiamo stabilito che UNC4736 è associato agli stessi operatori nordcoreani sulla base dell’analisi dell’applicazione X_TRADER trojanizzata, che è stata distribuita attraverso un sito compromesso menzionato in precedenza nel blog di Google Threat Analysis Group (www.tradingtechnologies[.] com )“.
RedazioneIl primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media...
Il CEO di NVIDIA, Jen-Hsun Huang, oggi supervisiona direttamente 36 collaboratori suddivisi in sette aree chiave: strategia, hardware, software, intelligenza artificiale, pubbliche relazioni, networki...
OpenAI ha presentato Aardvark, un assistente autonomo basato sul modello GPT-5 , progettato per individuare e correggere automaticamente le vulnerabilità nel codice software. Questo strumento di inte...
Analisi RHC sulla rete “BHS Links” e sulle infrastrutture globali di Black Hat SEO automatizzato Un’analisi interna di Red Hot Cyber sul proprio dominio ha portato alla luce una rete globale di ...
Abbiamo recentemente pubblicato un approfondimento sul “furto del secolo” al Louvre, nel quale sottolineavamo come la sicurezza fisica – accessi, controllo ambientale, vigilanza – sia oggi str...
