Un grupo de piratas informáticos de Corea del Norte orquestó un ataque en cadena que le permitió monitorear las comunicaciones de los clientes corporativos a través de la plataforma PBX Virtual 3CX, modificar el enrutamiento de llamadas o intermediar conexiones en servicios de voz externos
Perú, abril de 2023 - CLM, una empresa mayorista latinoamericano de valor agregado con enfoque en la seguridad de la información, la protección de datos, infraestructura para Datacenters y Cloud, advierte sobre un nuevo tipo de ataque realizado en cadena, con el objetivo de acceder a códigos fuente, crear procesos o actualizar mecanismos, infectando aplicaciones legítimas para distribuir malware. 3CXDesktopApp, una popular aplicación de 3CX utilizada para conferencias de voz y video y categorizada como una plataforma IP PBX (telefonía por Internet y video) ha sido comprometida en los últimos días como parte de un ataque en cadena llamado ‘SmoothOperator’, presentado por el grupo APT de Corea del Norte, Laberinto Chollima, asociado con Lázaro.
La información proviene de análisis que realizó SentinelOne, especializada en tecnologías de ciberseguridad basadas en inteligencia artificial que abarcan la prevención, detección, respuesta y caza de ataques, y por Picus Security, pionera en simulación de violación y ataque (BAS - Breach and Attack Simulation). Cabe destacar que ambas soluciones son distribuidas por CLM.
Según el CEO de CLM, Francisco Camargo, los ataques en cadena son amenazas emergentes que tienen como objetivo a los desarrolladores y proveedores de software. “En el caso de los ataques en cadena, los atacantes troyanizan una aplicación, es decir, instalan un parásito, un malware, que se distribuirá dentro de la aplicación, a miles de clientes y crea una puerta de acceso (backdoor) para que en otro software los malintencionados pueden usarlo para invadir el sistema”, explica el ejecutivo.
Para tener una idea del alcance de este ataque, 3CX afirma, en su sitio web, que tiene 600.000 empresas clientes, de varios segmentos como automotriz, proveedores de servicios administrados (MSP) de TI, manufactura, etc., con 12 millones de usuarios diariamente.
Según el análisis de Picus, en marzo de 2023, el grupo APT insertó un código malicioso en el código de la aplicación 3CXDesktopApp y los usuarios desprevenidos instalaron las versiones contaminadas mediante descargas directas o actualizaciones.
Detalles técnicos de un ataque en cadena
SentinelOne explica que en el caso de 3CXDesktopApp, la aplicación fue troyanizada, el primero de una cadena de ataque de múltiples etapas, cuando los archivos ICO adjuntos con datos base64 se extrajeron de Github, lo que luego condujo a una DLL de robo de información.
“A medida que analizamos el instalador malicioso, vemos que se desarrolla una interesante cadena de ataque de varias etapas. La aplicación 3CXDesktopApp sirve como un cargador de shellcode con shellcode ejecutado desde el espacio de almacenamiento dinámico. El shellcode carga reflexivamente una DLL, eliminando el "MZ" al principio. A esta DLL, a su vez, se le llama, a través de una aplicación denominada 'DllGetClassObject', con los siguientes argumentos:
1200 2400 "Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) 3CXDesktopApp/18.11.1197
Chrome/102.0.5005.167 Electron/19.1.9 Safari/537.36”
Así como el tamaño de esta cadena User-Agen”, indicó el informe de SentinelOne.
Según el análisis de Picus, las versiones afectadas de las versiones de 3CXDesktopApp son:
- 3CX DesktopApp - Electron Windows App
- versions 18.12.407 and 18.12.416
- 3CX DesktopApp - Electron Mac App
- versions 18.11.1213, 18.12.402, 18.12.407, and 18.12.416
Si bien estas versiones están firmadas con certificados digitales 3CX, se recomienda a los usuarios que no utilicen estas versiones.
En esta primera etapa, el troyano descargó archivos de iconos de un repositorio Github dedicado:
https://github[.]com/IconStorages/images
Después de la instalación, las versiones comprometidas de 3CXDesktopApp se ponen en contacto con los servidores C2 de control de los atacantes e instalan un malware de robo de información llamado ICONICSTEALER. Este programa maligno se utiliza para robar datos confidenciales de sistemas comprometidos.
Estos archivos de imagen ICO tienen datos codificados en Base64, adjuntos al final, que los atacantes decodifican y utilizan para descargar otra etapa del ataque. El archivo DLL parece ser un ladrón de información desconocido, destinado a interactuar con los datos del navegador, probablemente en un intento de permitir futuras operaciones a medida que los atacantes analizan la masa de clientes infectados.
La etapa final (cad1120d91b812acafef7175f949dd1b09c6c21a) implementa la funcionalidad de robo de información, incluida la recopilación de información del sistema y de los navegadores Chrome, Edge, Brave y Firefox. Esto incluye consultar el historial de navegación y los datos locales en los navegadores basados en Firefox y el historial de los navegadores basados en Chrome.
Cadenas de Infostealer utilizadas para consultar el historial y la lista de lugares
El 3CX PABX cliente está disponible para Windows, macOS y Linux; también hay versiones móviles para Android y iOS, así como una extensión de Chrome y una versión de cliente de Progressive Web App (PWA) basada en navegador. Picus informa que las versiones de Windows y macOS de 3CXDesktopApp también están afectadas.