Detección de Ataque a la Cadena de Suministro de 3CXDesktopApp: Campaña de Intrusión Activa que Afecta a Millones de Clientes de 3CX

Los expertos en ciberseguridad han descubierto una campaña de adversarios en curso que explota 3CXDesktopApp, una aplicación de software para comunicación empresarial utilizada por 12 millones de clientes en todo el mundo. Según los informes, los actores de la amenaza obtienen acceso inicial al entorno comprometido, despliegan cargas y luego intentan instalar malware que roba información capaz de secuestrar credenciales de inicio de sesión en la etapa final del ataque.

Detección de posible compromiso con 3CX 3CXDesktopApp

Para permitir que las organizaciones detecten oportunamente el ataque vinculado a 3CXDesktopApp, la Plataforma SOC Prime ofrece un conjunto de reglas Sigma, incluidas algunas de código abierto disponibles de forma gratuita. Haz clic en Explorar detecciones el botón a continuación y adéntrate en el conjunto de contenidos de detección acompañado del contexto relevante de amenazas cibernéticas, incluidos referencias a MITRE ATT&CK®, inteligencia de amenazas, binarios ejecutables y mitigaciones para una investigación de amenazas agilizada.

Además, el Equipo SOC Prime creó un paquete de IOC gratuito para Uncoder para ayudar a los profesionales de la seguridad a generar sin problemas consultas personalizadas respaldadas por IOCs adaptadas a la plataforma SIEM, EDR o XDR en uso y agilizar la investigación de posibles incidentes. Presiona el Obtener paquete de IOC botón e inmediatamente adéntrate en la colección de IOCs listos para ejecutarse en Uncoder.

Explorar deteccionesObtener paquete de IOC

Análisis del ataque a la cadena de suministro de 3CXDesktopApp

A principios de abril de 2023, una nueva campaña de intrusión dirigida a los clientes de 3CX salió a la luz en el ámbito de las amenazas cibernéticas. Los atacantes fijaron su atención en un popular software 3CXDesktopApp, que ha sido troyanizado y explotado en un ataque a la cadena de suministro exponiendo a millones de usuarios globales a una amenaza seria.

El 30 de marzo, CISA emitió una alerta detallando el ataque en curso contra el software 3CX y sus usuarios. Para aumentar la conciencia sobre ciberseguridad, CISA ha instado a las organizaciones globales a revisar los informes correspondientes de los proveedores de seguridad, incluidos CrowdStrike and SentinelOne, así como la última alerta de seguridad de 3CX DesktopApp para obtener más información sobre la actividad del adversario recientemente observada e identificar oportunamente la posible intrusión. La última alerta de 3CX notificó a los clientes y socios de la compañía sobre la falla de seguridad relacionada con la aplicación Electron Windows actualizada v7 que afecta a los clientes de Windows y macOS.

3CX sugiere que la actividad del adversario podría ser un ataque dirigido multietapa lanzado por un grupo APT respaldado por una nación. El equipo de inteligencia de CrowdStrike asume que la campaña puede atribuirse al colectivo de hackers norcoreano LABYRINTH CHOLLIMA, que podría considerarse un subconjunto del infame Lazarus Group.

Además, 3CX ha informado a los clientes sobre el trabajo en curso en la nueva versión de la aplicación de Windows con un nuevo certificado. 3CX recomienda actualmente aplicar la aplicación PWA basada en la web como alternativa, que no necesita instalación ni actualizaciones y utiliza Chrome Web Security para la protección contra amenazas.

La cadena de infección se desencadena instalando un archivo MSI en versiones de aplicaciones para Windows y un archivo DMG en versiones para macOS. En Windows, el instalador MSI carga y ejecuta un archivo DLL malicioso diseñado para descargar un archivo de icono dentro de un período de sueño aleatorio de una a cuatro semanas.

En la etapa final del ataque, el sistema comprometido puede ser infectado adicionalmente con un infostealer a través de la carga lateral de DLL, que, según los investigadores de SentinelOne, puede robar datos y credenciales de inicio de sesión de navegadores web populares.

Con el ataque en curso de 3CXDesktopApp que pone a millones de usuarios globales de 3CXDesktopApp en riesgo de compromiso, los defensores cibernéticos están buscando formas confiables y viables de responder oportunamente a amenazas similares. Aprovechando Uncoder AIde SOC Prime, que se basa en la inteligencia colectiva y el poder de la IA, los equipos de seguridad pueden acceder instantáneamente a los IOCs relevantes y convertirlos en consultas de caza optimizadas para el rendimiento listas para ejecutarse en su entorno SIEM o EDR.