Blog

Las organizaciones consideradas como Infraestructura crítica también han sido afectadas por la violación de 3CX

El ataque a la cadena de suministro del software X_Trader que condujo a la violación de 3CX del mes pasado también ha afectado al menos a varias organizaciones de infraestructura crítica en los Estados Unidos y Europa, según el equipo de Threat Hunter de Symantec.

El grupo de amenazas respaldado por Corea del Norte vinculado a los ataques de Trading Technologies y 3CX usó un instalador troyanizado para el software X_Trader, para implementar la puerta trasera modular de varias etapas VEILEDSIGNAL en los sistemas de las víctimas. Y una vez instalado, el malware podría ejecutar shellcode malicioso o inyectar un módulo de comunicación en los procesos de Chrome, Firefox o Edge que se ejecutan en sistemas comprometidos.

«La investigación inicial del Threat Hunter Team de Symantec ha encontrado, hasta la fecha, que entre las víctimas se encuentran dos organizaciones de infraestructura crítica en el sector energético, una en los EE. UU. y la otra en Europa«, dijo la compañía en un informe.

«Además de esto, también se violaron otras dos organizaciones involucradas en el comercio financiero«.

Si bien el compromiso de la cadena de suministro de Trading Technologies es el resultado de una campaña motivada por temas económicos, la violación de múltiples organizaciones de infraestructura crítica es preocupante, ya que los grupos de amenazas respaldados por Corea del Norte también son conocidos por el espionaje cibernético y el sabotaje informático.

Habiendo violado al menos cuatro entidades más, además de 3CX con la ayuda del software troyano X_Trader, también es muy probable que la campaña de amenazas de Corea del Norte ya haya afectado a víctimas adicionales aún por descubrir.

«El descubrimiento de que 3CX fue violado por otro ataque anterior a la cadena de suministro hizo muy probable que más organizaciones se vieran afectadas por esta campaña, que ahora resulta ser mucho más amplia de lo que se creía originalmente«, agregó Symantec.

«Los atacantes detrás de estas infracciones claramente tienen una plantilla exitosa para los ataques a la cadena de suministro de software y no se pueden descartar ataques similares«.

Hace unos días atras, Mandiant vinculó un grupo de amenazas de Corea del Norte que ha sido rastreada como UNC4736 con el ataque en cascada a la cadena de suministro que afectó a la empresa de VoIP 3CX en marzo.

Según la superposición de la infraestructura de ataque, Mandiant también conectó UNC4736 con dos grupos de actividad maliciosa de APT43 rastreados como UNC3782 y UNC4469.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required