Infraestructura crítica también afectada por un ataque a la cadena de suministro detrás de la violación de 3CX

El ataque a la cadena de suministro del software X_Trader que condujo a la violación de 3CX del mes pasado también ha afectado al menos a varias organizaciones de infraestructura crítica en los Estados Unidos y Europa, según el Threat Hunter Team de Symantec.

El grupo de amenazas respaldado por Corea del Norte vinculado a los ataques de Trading Technologies y 3CX usó un instalador troyano para el software X_Trader para implementar la puerta trasera modular de varias etapas VEILEDSIGNAL en los sistemas de las víctimas.

Una vez instalado, el malware podría ejecutar shellcode malicioso o inyectar un módulo de comunicación en los procesos de Chrome, Firefox o Edge que se ejecutan en sistemas comprometidos.

“La investigación inicial del Threat Hunter Team de Symantec ha encontrado, hasta la fecha, que entre las víctimas se encuentran dos organizaciones de infraestructura crítica en el sector energético, una en los EE. UU. y la otra en Europa”, dijo la compañía en un informe publicado hoy .

“Además de esto, también se violaron otras dos organizaciones involucradas en el comercio financiero”.

Si bien el compromiso de la cadena de suministro de Trading Technologies es el resultado de una campaña motivada financieramente, la violación de múltiples organizaciones de infraestructura crítica es preocupante, ya que los grupos de piratería respaldados por Corea del Norte también son conocidos por el espionaje cibernético.

Es muy probable que las organizaciones estratégicas comprometidas como parte de este ataque a la cadena de suministro también sean seleccionadas para su posterior explotación.

Si bien Symantec no nombró a las dos organizaciones del sector energético, el director de respuesta de seguridad del equipo Threat Hunter de Symantec, Eric Chien, le dijo a BleepingComputer que son “proveedores de energía que generan y suministran energía a la red”.

Ataque de gran alcance a la cadena de suministro

Habiendo violado al menos cuatro entidades más además de 3CX con la ayuda del software troyano X_Trader, también es muy probable que la campaña de piratería de Corea del Norte ya haya afectado a víctimas adicionales aún por descubrir.

“El descubrimiento de que 3CX fue violado por otro ataque anterior a la cadena de suministro hizo muy probable que más organizaciones se vieran afectadas por esta campaña, que ahora resulta ser mucho más amplia de lo que se creía originalmente”, agregó Symantec.

“Los atacantes detrás de estas infracciones claramente tienen una plantilla exitosa para los ataques a la cadena de suministro de software y no se pueden descartar ataques similares”.

El jueves, Mandiant vinculó un grupo de amenazas de Corea del Norte que rastrea como UNC4736 con el ataque en cascada a la cadena de suministro que afectó a la empresa de VoIP 3CX en marzo.

UNC4736 está relacionado con el Grupo Lazarus patrocinado por Corea del Norte y motivado financieramente detrás de la Operación AppleJeus [ 1 , 2 , 3 ], previamente vinculado por el Grupo de Análisis de Amenazas (TAG) de Google al compromiso del sitio web de Trading Technologies.

Según la superposición de la infraestructura de ataque, Mandiant también conectó UNC4736 con dos grupos de actividad maliciosa APT43 rastreados como UNC3782 y UNC4469.