Blog

SmoothOperator (Lazarus): Un Ataque a la Cadena de Suministro para clientes de 3CX Desktop App

El día de ayer, 29 de marzo del presente año, las empresas de ciberseguridad CrowdStrike, Huntress y SentinelOne, han lanzado en sus respectivos blogs, un comunicado sobre una nueva campaña que se estaría realizando para comprometer dispositivos 3CX Desktop App, un producto de software de videoconferencia y voz muy popular, debido a que es un recurso Open Souce.

El cliente PBX 3CX está disponible para Windows, macOS y Linux; también hay versiones móviles para Android e iOS, así como una extensión para Chrome y una versión del cliente basada en el navegador.

Según SentinelOne, el 22 de marzo del presente año, se comenzó a ver un aumento relevante de detecciones que han llegado a comprometer a 3CX Desktop App. También, agregan que el actor de amenazas ha registrado un conjunto de infraestructura en expansión a partir de febrero de 2022, pero aún no se ha visto conexiones obvias con los grupos de amenazas existentes.

Según Sophos, el 22 de marzo, los usuarios de 3CX comenzaron a discutir en foros sobre posibles detecciones de falsos positivos de 3CX Desktop App por parte de sus agentes de seguridad de punto final.

Imagen: @vxunderground

«El software PBX es un objetivo atractivo de la cadena de suministro para los actores de amenazas; Además de monitorear las comunicaciones de una organización, los actores pueden modificar el enrutamiento de llamadas o negociar conexiones en servicios de voz desde el exterior. Ha habido otros casos en los que los actores usan software PBX y VOIP para implementar cargas útiles adicionales, incluida una campaña de 2020 contra teléfonos VOIP Digium que usan una biblioteca PBX vulnerable, FreePBX.» dice SentinelOne.

El modus operandi de la campaña de infección es la siguiente. El víctima descarga una versión de 3CX Desktop App troyanizada, la cual es la primera etapa de una cadena de ataque de varias etapas que extrae archivos ICO, adjuntos con datos en base64 de Github y, en última instancia, conduce a un archivo .DLL para realizar las funciones de robo de información. Informa SentinelOne.

El payload lo han denominado «SmoothOperator«, y permitirá al atacante extraer todos los datos guardados en los navegadores webs, siendo Chrome, Edge, Brave y Firefox los principales en exfiltrar.

Desde Huntress, una empresa de ciberseguridad, a informado en una publicación, el nivel de impacto que puede llegar a tener la aplicación 3CX Desktop con los equipos expuestos actualmente en la red. Para ello, realizaron una búsqueda mediante la plataforma de Shodan, detectando que hay 242.519 sistemas de administración telefónica de 3CX expuestas por Internet.

Imagen: Huntress

«El 29 de marzo, numerosos proveedores de EDR y soluciones antivirus comenzaron a activar y marcar en el archivo binario legítimo firmado 3CXDesktopApp.exe. Esta aplicación había iniciado un proceso de actualización que finalmente condujo a un comportamiento malicioso y una comunicación de comando y control con numerosos servidores externos.» Dice Huntress.

«La descarga de 3CX disponible en el sitio web público oficial incluía malware. Las instalaciones ya implementadas se actualizarán y, en última instancia, eliminarán este malware que incluye un archivo DLL como puerta trasera, ffmpeg.dll y un d3dcompiler_47.dll.«

Imagen: Huntress

A partir del análisis realizado por Huntress, se ha visto que el archivo «d3dcompiler_47.dll» está firmado por Microsoft, pero contiene un payload incrustada y cifrada. Luego de esto, la puerta trasera no seria ejecutada por 7 días y esperaría hasta realizar una consulta a los servidores C2 externos.

«El retraso de 7 días es peculiar, ya que es posible que no haya visto más indicadores inmediatamente… y puede explicar por qué algunos usuarios aún no han visto actividad maliciosa. (Quizás una observación interesante considerando que estas nuevas actualizaciones maliciosas de 3CX se vieron por primera vez el 22 de marzo, y la industria se enteró de esta actividad maliciosa el 29 de marzo)» dice John Hammond, de Huntress.

Imagen: Huntress

Datos en Iberoamérica

En el contexto iberoamericano, el número de países con el portal de administración 3CX expuestos en la red, mediante shodan, son los siguientes:

PosiciónPaísNúmero de Servicio Expuesto
1Brasil4385
2España1304
3México547
4Colombia357
5Chile228
6Argentina134
7Uruguay90
8Ecuador56

Datos Críticos

  • Más de 600.000 compañías en el mundo utilizan 3CX Desktop App.
  • Más de 12.000.000 de usuarios.
  • Existe una variante para Windows y MacOS
  • El ataque ha sido atribuido a Lazarus Group, APT38, de Corea del Norte.

Recomendación de Seguridad

Las últimas recomendaciones del CEO y el CISO de 3CX son «desinstalar el cliente de escritorio para 3CX«. Informan que están preparando una nueva versión y una actualización de la aplicación 3CX Desktop App que estará disponible pronto.

Indicadores de Compromiso

URLgithub[.]com/IconStorages/images
Email[email protected][.]me
Email[email protected][.]me
SHA-1cad1120d91b812acafef7175f949dd1b09c6c21a
SHA-1bf939c9c261d27ee7bb92325cc588624fca75429
SHA-120d554a80d759c50d6537dd7097fed84dd258b3e
URIhttxs://akamaitechcloudservices[.]com/v2/storage
URIhttxs://azureonlinestorage[.]com/azure/storage
URIhttxs://msedgepackageinfo[.]com/microsoft-edge
URIhttxs://glcloudservice[.]com/v1/console
URIhttxs://pbxsources[.]com/exchange
URIhttxs://msstorageazure[.]com/window
URIhttxs://officestoragebox[.]com/api/session
URIhttxs://visualstudiofactory[.]com/workload
URIhttxs://azuredeploystore[.]com/cloud/services
URIhttxs://msstorageboxes[.]com/office
URIhttxs://officeaddons[.]com/technologies
URIhttxs://sourceslabs[.]com/downloads
URIhttxs://zacharryblogs[.]com/feed
URIhttxs://pbxcloudeservices[.]com/phonesystem
URIhttxs://pbxphonenetwork[.]com/voip
URIhttxs://msedgeupdate[.]net/Windows

Referencias

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required