Ataque da 3CX associado a grupo na Coreia do Norte

A empresa de comunicações VOIP 3CX confirmou, durante esta semana, que o ataque sofrido pela empresa o mês passado teve origem num grupo associado com a Coreia do Norte.

De acordo com o comunicado da empresa, a investigação realizada do ataque confirmou que terá sido realizado por um grupo de hackers conhecido como “UNC4736”, o qual possui as suas origens na Coreia do Norte.

A relembrar que o ataque da 3CX levou a que os atacantes conseguissem infetar sistemas com o programa usando um malware conhecido como “TxRLoader”, que por sua vez permitia a instalação de um segundo malware, conhecido como “Coldcat”.

Uma vez infetado, o sistema ficaria em controlo dos atacantes de forma remota. Este tentava ainda ocultar as suas atividades, instalando no sistema ficheiros DLL aparentemente legítimos e que eram recarregados cada vez que o sistema era reiniciado.

Este acesso persistente permitia que os atacantes tivessem acesso praticamente total aos sistemas infetados, com a capacidade de enviarem comandos remotamente e de descarregarem ficheiros.

De relembrar que a empresa confirmou inicialmente o ataque como tendo afetado a sua aplicação dedicada para desktop, a 3CXDesktopApp, tendo recomendado os utilizadores a migrarem para a versão web da mesma e a removerem a aplicação desktop.