El ataque a la cadena de suministro del software X_Trader que condujo a la violación de 3CX del mes pasado también ha afectado al menos a varias organizaciones de infraestructura crítica en los Estados Unidos y Europa, según el equipo de Threat Hunter de Symantec.
El grupo de amenazas respaldado por Corea del Norte vinculado a los ataques de Trading Technologies y 3CX usó un instalador troyanizado para el software X_Trader, para implementar la puerta trasera modular de varias etapas VEILEDSIGNAL en los sistemas de las víctimas. Y una vez instalado, el malware podría ejecutar shellcode malicioso o inyectar un módulo de comunicación en los procesos de Chrome, Firefox o Edge que se ejecutan en sistemas comprometidos.
«La investigación inicial del Threat Hunter Team de Symantec ha encontrado, hasta la fecha, que entre las víctimas se encuentran dos organizaciones de infraestructura crítica en el sector energético, una en los EE. UU. y la otra en Europa«, dijo la compañía en un informe.
«Además de esto, también se violaron otras dos organizaciones involucradas en el comercio financiero«.
Si bien el compromiso de la cadena de suministro de Trading Technologies es el resultado de una campaña motivada por temas económicos, la violación de múltiples organizaciones de infraestructura crítica es preocupante, ya que los grupos de amenazas respaldados por Corea del Norte también son conocidos por el espionaje cibernético y el sabotaje informático.
Habiendo violado al menos cuatro entidades más, además de 3CX con la ayuda del software troyano X_Trader, también es muy probable que la campaña de amenazas de Corea del Norte ya haya afectado a víctimas adicionales aún por descubrir.
«El descubrimiento de que 3CX fue violado por otro ataque anterior a la cadena de suministro hizo muy probable que más organizaciones se vieran afectadas por esta campaña, que ahora resulta ser mucho más amplia de lo que se creía originalmente«, agregó Symantec.
«Los atacantes detrás de estas infracciones claramente tienen una plantilla exitosa para los ataques a la cadena de suministro de software y no se pueden descartar ataques similares«.
Hace unos días atras, Mandiant vinculó un grupo de amenazas de Corea del Norte que ha sido rastreada como UNC4736 con el ataque en cascada a la cadena de suministro que afectó a la empresa de VoIP 3CX en marzo.
Según la superposición de la infraestructura de ataque, Mandiant también conectó UNC4736 con dos grupos de actividad maliciosa de APT43 rastreados como UNC3782 y UNC4469.

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence