Las piezas del rompecabezas de la cadena de suministro 3CX están comenzando a caer en su lugar, aunque todavía estamos lejos de ver la imagen completa. Mientras tanto, ahora también sabemos que las versiones de escritorio de Windows y Mac de la aplicación 3CX se han inyectado con malware y se han utilizado para entregar malware de robo de información a un número aún desconocido de clientes 3CX. Según Kaspersky, algunas de las víctimas son compañías de criptomonedas.
3CX contrató a Mandiant para investigar cómo ocurrió su propio compromiso, y revelaron que uno de los empleados de 3CX descargó el instalador X_Trader atrapado en Booby, lo que llevó a la implementación final de una puerta trasera modular (denominada Veiledsignal) en su sistema. El instalador se firmó con un certificado digital caducado perteneciente a las tecnologías comerciales y se remonta a noviembre de 2021.
Mandiant pudo reconstruir los pasos del atacante en todo el medio ambiente a medida que cosechaban credenciales y se movían lateralmente. Finalmente, el atacante pudo comprometer los entornos de construcción de Windows y MacOS. También encontraron indicadores de compromiso que parecen corroborar su evaluación inicial de que los piratas informáticos norcoreanos patrocinados por el gobierno están detrás de la violación.
Casi simultáneamente, los investigadores de ESET publicaron un informe sobre el APT de Lázaro dirigido a usuarios de Linux con ofertas de trabajo falsas y una puerta trasera de Linux, y vincularon aún más el grupo con el ataque de la cadena de suministro 3CX en función de las similitudes entre malware usado e infraestructura compartida.
El equipo de cazadores de amenazas de Symantec reveló que el ataque de la cadena de suministro de software X_Trader afectó a más organizaciones que 3CX, incluidas dos organizaciones en el sector energético en los Estados Unidos y el Reino Unido, así como dos organizaciones involucradas en el comercio financiero. Se desconoce el alcance del posible compromiso en esas compañías.
Trading Technologies dijo al periodista de seguridad Kim Zetter que el paquete X_Trader comprometido fue descargado por 97 personas entre el 1 de noviembre de 2021 y el 26 de julio de 2022, y que se les ha notificado y se les ha aconsejado que no abran el software si aún no lo han hecho. Si alguna de esas personas trabaja en otras compañías de software, es muy probable el descubrimiento de ataques de cadena de suministro relacionados adicionales.
