El actor de amenazas, que se cree que es el Grupo Lazarus, que recientemente comprometió la aplicación de escritorio VoIP de 3CX para distribuir software de robo de información a los clientes de la compañía, también ha dejado caer una puerta trasera de segunda etapa en los sistemas que pertenecen a un pequeño número de ellos.
La puerta trasera, llamada "Gopuram", contiene múltiples módulos que los actores de amenazas pueden usar para filtrar datos; instalar malware adicional; iniciar, detener y eliminar servicios; e interactuar directamente con los sistemas de las víctimas. Los investigadores de Kaspersky detectaron el malware en un puñado de sistemas que ejecutan versiones comprometidas de 3CX DesktopApp.
Mientras tanto, algunos investigadores de seguridad ahora dicen que su análisis muestra que los actores de amenazas pueden haber explotado una vulnerabilidad de Windows de hace 10 años (CVE-2013-3900).
Gopuram: puerta trasera conocida vinculada a Lazarus
Kaspersky identificó a Gopuram como puerta trasera ha estado rastreando desde al menos 2020 cuando la compañía lo encontró instalado en un sistema perteneciente a una compañía de criptomonedas en el sudeste asiático. Los investigadores en ese momento encontraron la puerta trasera instalada en un sistema junto con otra puerta trasera llamada AppleJeus, atribuida a El prolífico Grupo Lazarus de Corea del Norte.
En una publicación de blog del 3 de abril, Kaspersky concluyó que el ataque a 3CX fue, por lo tanto, muy probablemente obra del mismo equipo. “El descubrimiento de las nuevas infecciones de Gopuram nos permitió atribuir la campaña 3CX al actor de amenazas Lazarus con una confianza media a alta”, dijo Kaspersky.
El investigador de Kaspersky, Georgy Kucherin, dice que el propósito de la puerta trasera es realizar espionaje cibernético. “Gopuram es una carga útil de segunda etapa lanzada por los atacantes” para espiar a las organizaciones objetivo, dice.
El descubrimiento de Kaspersky de malware de segunda etapa agrega otra novedad al ataque a 3CX, un proveedor de videoconferencias, PBX y aplicaciones de comunicación empresarial para sistemas Windows, macOS y Linux. La compañía ha afirmado que unas 600,000 organizaciones en todo el mundo, con más de 12 millones de usuarios diarios, utilizan actualmente su aplicación de escritorio 3CX.
Un compromiso importante de la cadena de suministro
El 30 de marzo, el CEO de 3CX, Nick Galea, y el CISO, Pierre Jourdan, confirmaron que los atacantes habían comprometido ciertas versiones de Windows y macOS del software para distribuir malware. La divulgación se produjo después de que varios proveedores de seguridad informaran haber observado actividad sospechosa asociada con actualizaciones legítimas y firmadas del binario 3CX DesktopApp.
Sus investigaciones mostraron que un actor de amenazas, ahora identificado como Lazarus Group, había comprometido dos bibliotecas de enlaces dinámicos (DLL) en el paquete de instalación de la aplicación y les agregó código malicioso. Las aplicaciones armadas terminaron en los sistemas de los usuarios a través de actualizaciones automáticas de 3CX y también a través de actualizaciones manuales.
Una vez en un sistema, la aplicación de escritorio 3CX firmada ejecuta el instalador malicioso, que luego inicia una serie de pasos que terminan con la instalación de un malware que roba información en el sistema comprometido. Múltiples investigadores de seguridad han notado que solo un atacante con un alto nivel de acceso al entorno de desarrollo o construcción de 3CX habría podido introducir código malicioso en las DLL y pasar desapercibido.
3CX contrató a Mandiant para investigar el incidente y dijo que dará a conocer más detalles de lo que ocurrió exactamente una vez que tenga todos los detalles.
Los atacantes explotaron una falla de Windows de hace 10 años
Aparentemente, Lazarus Group también usó un error de 10 años para agregar un código malicioso a una DLL de Microsoft sin invalidar la firma.
En su divulgación de vulnerabilidad de 2103, Microsoft describió la falla como una forma de que los atacantes agreguen código malicioso a un ejecutable firmado sin invalidar la firma. La actualización de la empresa para el problema cambió la forma en que se verifican los archivos binarios firmados con Windows Authenticode. Básicamente, la actualización aseguró que si alguien hacía cambios en un binario ya firmado, Windows ya no reconocería el binario como firmado.
Al anunciar la actualización en ese entonces, Microsoft también la convirtió en una actualización opcional, lo que significa que los usuarios no tenían que aplicar la actualización si les preocupaba que la verificación de firma más estricta causara problemas en situaciones en las que podrían haber realizado cambios personalizados en los instaladores.
“Microsoft se mostró reacio, durante un tiempo, a hacer oficial este parche”, dice Jon Clay, vicepresidente de inteligencia de amenazas de Trend Micro. “Lo que está siendo abusado por esta vulnerabilidad, en esencia, es un espacio de borrador al final del archivo. Piense en ello como una bandera de cookies que muchas aplicaciones pueden usar, como algunos navegadores de Internet”.
Brigid O'Gorman, analista senior de inteligencia del equipo Threat Hunter de Symantec, dice que los investigadores de la compañía vieron a los atacantes 3CX agregando datos al final de un archivo DLL de Microsoft firmado. “Vale la pena señalar que lo que se agrega al archivo son datos encriptados que necesitan algo más para convertirlos en código malicioso”, dice O'Gorman. En este caso, la aplicación 3CX descarga el archivo ffmpeg.dll, que lee los datos adjuntos al final del archivo y luego los descifra en un código que llama a un servidor externo de comando y control (C2), señala.
“Creo que el mejor consejo para las organizaciones en este momento sería aplicar el parche de Microsoft para CVE-2013-3900 si aún no lo han hecho”, dice O'Gorman.
En particular, las organizaciones que podrían haber reparado la vulnerabilidad cuando Microsoft lanzó por primera vez una actualización tendrían que hacerlo nuevamente si tienen Windows 11. Eso se debe a que el sistema operativo más nuevo deshizo el efecto del parche, dicen Kucherin y otros investigadores.
"CVE-2013-3900 fue utilizado por la DLL de segunda etapa en un intento de ocultarse de las aplicaciones de seguridad que solo verifican la validez de una firma digital", dice Clay. La aplicación de parches ayudaría a los productos de seguridad a marcar el archivo para su análisis, señala.
Microsoft no respondió de inmediato a una solicitud de información de Dark Reading sobre su decisión de hacer de CVE-2013-3900 una actualización opcional; mitigaciones; o si la instalación de Windows 11 revierte los efectos del parche.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/3cx-breach-cyberattackers-second-stage-backdoor
- :es
- 000
- 11
- 2020
- 7
- a
- Poder
- Nuestra Empresa
- de la máquina
- actividad
- los actores
- adicional
- Adicionales
- Añade
- consejos
- Después
- en contra
- Todos
- junto al
- ya haya utilizado
- análisis
- analista
- y
- Anunciando
- Otra
- applicación
- Aplicación
- aplicaciones
- Aplicá
- aplicaciones
- Abril
- somos
- en torno a
- AS
- Asia
- asociado
- At
- atacar
- Automático
- Atrás
- puerta trasera
- Básicamente
- BE
- porque
- "Ser"
- creído
- MEJOR
- Blog
- incumplimiento
- navegadores
- build
- by
- , que son
- Calls
- Campaña
- PUEDEN
- case
- causando
- ceo
- a ciertos
- cadena
- Cambios
- comprobar
- CISO
- afirmó
- código
- Comunicación
- compañía
- Comprometida
- Inquietudes
- Concluido
- Conducir
- confianza
- Confirmado
- contiene
- criptomoneda
- En la actualidad
- personalizado
- Clientes
- ciber
- todos los días
- Oscuro
- Lectura oscura
- datos
- Koops
- descrito
- computadora de escritorio
- detalles
- Desarrollo
- HIZO
- digital
- directamente
- revelación
- descubrimiento
- distribuir
- Soltar
- caído
- lugar de trabajo dinámico
- efecto
- los efectos
- cifrado
- termina
- Entorno
- espionaje
- esencia
- exactamente
- Ejecuta
- Explotado
- externo
- Archive
- Nombre
- falla
- encontrado
- Desde
- obtener
- conseguir
- Diezmos y Ofrendas
- Grupo procesos
- puñado
- Tienen
- ayuda
- Esconder
- Alta
- Cómo
- HTTPS
- no haber aun identificado una solucion para el problema
- inmediatamente
- in
- incidente
- infecciones
- información
- Iniciados
- instalar
- instalado
- instalando
- Intelligence
- interactuar
- Internet
- introducir
- investigar
- Investigaciones
- Emitido
- IT
- SUS
- jpg
- Kaspersky
- conocido
- Corea
- Lázaro
- Grupo Lázaro
- Nivel
- bibliotecas
- como
- que otros
- LINK
- vinculado
- Linux
- por más tiempo
- macos
- hecho
- gran
- para lograr
- el malware
- manual
- muchos
- Marzo
- sentido
- mediano
- Microsoft
- podría
- millones
- Módulos
- momento
- más,
- múltiples
- ¿ Necesita ayuda
- Nuevo
- señaló
- Notas
- número
- of
- oficial
- on
- para las fiestas.
- OS
- Otro
- paquete
- Patch
- parcheo
- PBX
- Pierre
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Publicación
- presidente
- problemas
- Productos
- proveedor
- propósito
- Reading
- recientemente
- reconocer
- ,
- reportado
- solicita
- investigador
- investigadores
- Responder
- rollos
- correr
- s
- Said
- mismo
- dice
- EN LINEA
- mayor
- Serie
- Servicios
- Varios
- Shows
- firmado
- desde
- circunstancias
- chica
- So
- Software
- algo
- Alguien
- algo
- Southeast Asia
- Espacio
- comienzo
- pasos
- Detener
- más estricto
- suministro
- cadena de suministro
- suspicaz
- te
- Todas las funciones a su disposición
- Target
- equipo
- esa
- La
- su
- Les
- por lo tanto
- amenaza
- actores de amenaza
- equipo
- a
- Seguimiento
- Tendencia
- GIRO
- Actualizar
- Actualizaciones
- us
- utilizan el
- Usuario
- usuarios
- vendedores
- Verificación
- verificadas
- vía
- Vice Presidenta
- Víctima
- vulnerabilidad
- Camino..
- ¿
- Que es
- sean
- que
- seguirá
- ventanas
- ventanas 11
- sin
- Actividades:
- en todo el mundo
- valor
- se
- zephyrnet
