3CX confirma ataque e acusa hackers norte-coreanos

3CX confirma ataque e acusa hackers norte-coreanos

A empresa de comunicações VoIP 3CX confirmou hoje que um grupo de hackers norte-coreanos estava por trás do ataque à empresa no mês passado.

A 3CX possui um sistema telefônico que é usado por mais de 600.000 empresas em todo o mundo e mais de 12 milhões de usuários diariamente, com a lista de clientes incluindo empresas e organizações de alto nível como American Express, Coca-Cola, McDonald’s, Air France, IKEA, National Health do Reino Unido Serviço e várias montadoras.

O CISO da 3CX comentou publicamente sobre o ataque: “Com base na investigação da Mandiant sobre a intrusão 3CX e o ataque à cadeia de suprimentos até agora, eles atribuem a atividade a um cluster chamado UNC4736. A Mandiant avalia com alta confiança que o UNC4736 tem um nexo norte-coreano”.

Os invasores infectaram os sistemas 3CX com malware conhecido como Taxhaul (ou TxRLoader), que implantou um downloader de malware de segundo estágio chamado Coldcat da Mandiant.

O malware conseguiu persistência em sistemas comprometidos por meio de carregamento lateral de DLL por meio de binários legítimos do Microsoft Windows, tornando-o mais difícil de detectar.

A 3CX ainda não divulgou como o ataque à cadeia de suprimentos foi conduzido em primeiro lugar, se seu ambiente de desenvolvimento foi comprometido ou por meio de algum outro método.

A 3CX confirmou pela primeira vez que seu cliente de desktop baseado em 3CXDesktopApp Electron foi comprometido em um ataque à cadeia de suprimentos para implantar malware um dia depois que as notícias do ataque surgiram em 29 de março e mais de uma semana depois que os clientes começaram a relatar que o software estava sendo marcado como malicioso por soluções de segurança de SentinelOne, CrowdStrike, ESET, Palo Alto Networks e SonicWall.

A empresa aconselhou os clientes a desinstalar o cliente de desktop Electron afetado de todos os dispositivos Windows e macOS (um script de desinstalação em massa está disponível aqui ) e mudar imediatamente para o aplicativo Web Client progressivo (PWA) que fornece recursos semelhantes.