I criminali del gruppo nordcoreano #Lazarus sono stati identificati come responsabili dell'attacco alla #supplyChain #3CX, un client desktop di chiamate vocali e video utilizzato da importanti multinazionali come #Toyota, #MercedesBenz, #CocaCola, #McDonalds e il #ServizioSanitarioNazionale britannico.

La #vulnerabilità è stata rintracciata in un file di libreria software vulnerabile di #Electron, un framework open-source per le interfacce utente. I criminali si sono impegnati per assicurarsi che la versione Trojan di #3CX funzioni normalmente. Hanno iniettato il codice maligno nel ramo #Electron del codice sorgente, anziché tentare di modificare il codice proprietario di #3CX, ha scritto l'analista di #Sophos Paul Ducklin.

Il gruppo #Lazarus è noto per aver effettuato una serie di attacchi di alto profilo, tra cui l'hack di #SonyPictures del 2014 e gli attacchi ransomware #WannaCry del 2017. Le agenzie governative degli Stati Uniti, tra cui l'#FBI, hanno emesso regolari avvertimenti sugli #hacker sponsorizzati dalla Corea del Nord e hanno pubblicato dati su quasi 30 varianti di malware associati a gruppi di #hacker sospettati di lavorare con il regime.

La società con sede in Florida #3CX ha detto di essere "affidabile per 600.000+ aziende" che hanno fino a 12 milioni di utenti giornalieri. La società ha assunto la società di sicurezza informatica #Mandiant, una controllata di #Google, per indagare sull'incidente.

La scoperta del gruppo #Lazarus è stata effettuata durante un'analisi degli strumenti utilizzati nell'attacco, secondo la società di sicurezza informatica #Volexity, insieme a #Sophos, #CrowdStrike e altri. #Sophos ha affermato che il codice usato nell'attacco era già stato visto in precedenza in incidenti attribuiti al gruppo #Lazarus. #Volexity ha individuato pubblicazioni di forum pubblici sul sito web di #3CX che affermavano che vari fornitori di rilevamento e risposta degli endpoint e antivirus avevano iniziato a segnalare l'attività maligna dagli aggiornamenti del software il 22 marzo 2023.

Molti utenti del forum di #3CX hanno commentato problemi simili. Un utente di nome skuers ha chiesto a #3CX di affrontare il problema. Un membro del team di supporto di #3CX ha risposto dicendo che ci sono centinaia se non migliaia di soluzioni AV là fuori, e non possono sempre raggiungerle ogni volta che si verifica un evento. #3CX utilizza il framework #Electron per la sua app e ha ipotizzato che alcuni fornitori possano bloccare alcune delle sue funzionalità.

Il software di rilevamento delle minacce #SentinelOne ha avvertito della rilevazione di esempi di sfruttamento del software, come il framework di penetrazione o #shellcode, evasione, comando indiretto e iniezione di codice. Diversi utenti del forum di #3CX hanno riferito di aver ricevuto allerte minacce da #SentinelOne per l'aggiornamento del desktop avviato dal client desktop.

Tweet