Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

3CX è stata hackerata con un doppio attacco alla supply chain

Redazione RHC : 26 Aprile 2023 07:17

Ne avevamo parlato qualche tempo fa di questo incidente informatico.

Ma da un’indagine più approfondita che ha colpito 3CX il mese scorso, è stato rilevato che l’incidente è stato causato da un’altra compromissione della catena di approvvigionamento. 

Cosa è successo

3CX è uno sviluppatore di soluzioni VoIP il cui sistema telefonico 3CX è utilizzato da più di 600.000 aziende in tutto il mondo, con più di 12.000.000 di utenti giornalieri. L’elenco dei clienti dell’azienda comprende giganti come American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA e HollidayInn.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

L’attacco alla 3CX è avvenuto alla fine di marzo 2023. Un client desktop basato su Electron, 3CXDesktopApp, è stato compromesso e utilizzato per distribuire malware ai clienti dell’azienda.

Sfortunatamente, i rappresentanti di 3CX hanno impiegato più di una settimana per rispondere alle numerose segnalazioni dei clienti secondo cui il suo software era provvisto di malware, sebbene gli esperti di diverse grandi società di sicurezza delle informazioni lo abbiano segnalato contemporaneamente, tra cui CrowdStrike, ESET, Palo Alto Networks, SentinelOne e SonicWall.

Quando l’attacco informatico era già diventato ovvio, il capo di 3CX  ha affermato che il file binario ffmpeg utilizzato dal client desktop 3CX poteva fungere da vettore di penetrazione iniziale. Tuttavia, FFmpeg  ha negato queste accuse.

Di conseguenza, 3CX ha consigliato ai propri clienti di rimuovere il client desktop dannoso da tutti i dispositivi Windows e macOS e di passare immediatamente all’app Web Client, un’applicazione Web progressiva (PWA) che fornisce funzionalità simili.

Analisi dell’incidente

Come è diventato noto ora, l’attacco a 3CX è avvenuto a seguito della compromissione di un’altra catena di approvvigionamento. Gli esperti di Mandiant, che hanno aiutato 3CX a indagare sull’incidente, hanno affermato che tutto è iniziato quando un programma di installazione X_Trader trojan di Trading Technologies è stato scaricato e installato sul personal computer di un dipendente di 3CX.

Ciò ha portato all’installazione di una backdoor modulare chiamata VEILEDSIGNAL progettata per eseguire shellcode, inserire il modulo di comunicazione nei processi Chrome, Firefox e Edge e quindi autodistruggersi.

Di conseguenza, il gruppo, che i ricercatori tracciano con l’identificatore UNC4736, ha utilizzato del mslware per iniziare il loro attacco, seguito da movimenti laterali nella rete 3CX, compromettendo infine gli ambienti di build per Windows e macOS.

Ovvero, la compromissione iniziale del sito di Trading Technologies è avvenuta più di un anno fa: la versione dannosa di X_Trader, dotata della backdoor VEILEDSIGNAL, era disponibile per il download all’inizio del 2022, e l’hack vero e proprio è avvenuto alla fine del 2021. Allo stesso tempo, non è del tutto chiaro dove esattamente il dipendente 3CX abbia trovato la versione trojanizzata di X_Trader nel 2023.

Secondo gli esperti, il gruppo UNC4736 è associato al gruppo di hacker Lazarus della Corea del Nord, motivato finanziariamente. 

Sulla base della duplicazione dell’infrastruttura, gli analisti hanno anche collegato UNC4736 ad altri due cluster APT43 tracciati come UNC3782 e UNC4469.

“Abbiamo stabilito che UNC4736 è associato agli stessi operatori nordcoreani sulla base dell’analisi dell’applicazione X_TRADER trojanizzata, che è stata distribuita attraverso un sito compromesso menzionato in precedenza nel blog di Google Threat Analysis Group (www.tradingtechnologies[.] com )“.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Italia sarai pronta al Blackout Digitale? Dopo La Spagna l’attacco informatico alla NS Power

Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...

Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...