# 3CX Supply Chain Attack > [!critical] Lazarus Group executou dupla cadeia de suprimentos - primeiro X_TRADER, depois 3CX - em ataque inédito na história do cibercrime > Em março-abril de 2023, a Lazarus Group (subgrupo UNC4736) comprometeu a 3CX Desktop App, software de comúnicações corporativas usado por 600.000 organizações. O ataque foi possível porque um funcionário da 3CX havia instalado o X_TRADER, um software de trading previamente comprometido pela própria Lazarus - uma dupla cadeia de suprimentos nunca documentada antes. ## Visão Geral O 3CX Supply Chain Attack (MITRE C0057) representa um marco histórico nos ataques de cadeia de suprimentos. A [[g0032-lazarus-group|Lazarus Group]], vinculada ao regime norte-coreano, executou um ataque em dois estágios que revelou uma vulnerabilidade sistêmica fundamental: é possível comprometer um software de trading legítimo para infectar um desenvolvedor de software corporativo que, por sua vez, distribui malware para centenas de milhares de organizações através de atualizações assinadas digitalmente. O vetor inicial foi o compromisso da **Trading Technologies**, cujo aplicativo X_TRADER foi trojanizado pela Lazarus em novembro de 2022. Um engenheiro da 3CX instalou este software em seu computador pessoal. A Lazarus usou esse acesso para pivotar para a rede corporativa da 3CX, comprometendo os sistemas de build e inserindo o backdoor **ICONIC Stealer** nos instaladores Windows e macOS da 3CX Desktop App versões 18.12.407 e 18.12.416 - distribuídos para centenas de milhares de clientes com assinatura digital válida. O payload final era o [[gopuram|Gopuram]], um malware com alvo específico em carteiras de criptomoedas e exchanges - padrão consistente com a estratégia norte-coreana de geração de receita documentada em eventos como o [[bybit-heist-2025|Bybit Heist de 2025]]. A campanha demonstrou que a [[g0032-lazarus-group|Lazarus Group]] mantém capacidade técnica excepcional para comprometer a cadeia de suprimentos de software - uma ameaça crescente para o [[financial|setor financeiro]] e [[technology|tecnologia]] globalmente. ## Attack Flow ```mermaid graph TB A["X_TRADER Comprometido<br/>Trading Technologies - nov 2022<br/>Software de trading trojanizado"] --> B["Infecção do Dev 3CX<br/>Engenheiro instala X_TRADER<br/>TAXHAUL instalado no host"] B --> C["Pivotamento para 3CX<br/>Credenciais do dev extraídas<br/>Acesso ao ambiente de build"] C --> D["Compromisso do Build<br/>ICONIC Stealer inserido em DLL<br/>Assinado com cert válido 3CX"] D --> E["Distribuição em Massa<br/>600.000 organizações recebem<br/>atualizações 3CX comprometidas"] E --> F["Ativação Seletiva<br/>GOPURAM em alvos<br/>de interesse cripto e financeiro"] F --> G["Exfiltração<br/>Roubo de carteiras crypto<br/>credenciais de exchanges"] ``` > **Atores:** Lazarus / UNC4736 | **Malware:** Gopuram, ICONIC Stealer, TAXHAUL | **CVE:** CVE-2023-29059 ## Cronologia ```mermaid timeline title 3CX Supply Chain Attack 2022-11 : X_TRADER comprometido - versão trojanizada distribuída 2023-01 : Engenheiro 3CX instala X_TRADER - TAXHAUL instalado no host 2023-03 : Lazarus obtém acesso ao ambiente de build da 3CX 2023-03-22 : ICONIC Stealer inserido nos instaladores Windows e macOS 2023-03-29 : Primeiras detecções por CrowdStrike e SentinelOne 2023-04-03 : 3CX confirma publicamente o compromisso 2023-04-11 : Mandiant publica análise atribuindo a UNC4736 e Lazarus 2023-04-20 : Mandiant confirma dupla supply chain via X_TRADER ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002]] | Compromisso do build process da 3CX via X_TRADER | | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Engenheiro infectado via download de X_TRADER comprometido | | DLL Side-Loading | [[t1574-002-dll-side-loading\|T1574.002]] | ICONIC Stealer carregado via DLL legítima do instalador | | Code Signing | [[t1553-002-code-signing\|T1553.002]] | Instaladores maliciosos assinados com certificado válido da 3CX | | Launch Daemon | [[t1543-004-launch-daemon\|T1543.004]] | POOLRAT persistente via LaunchDaemon no macOS | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Payloads cifrados em arquivos ICO de ícones da aplicação | ## Vítimas e Impacto **Escala:** - 3CX Desktop App usada por 600.000+ organizações e 12 milhões de usuários diários - Versões comprometidas para Windows e macOS com assinaturas digitais válidas - Ativação seletiva: apenas subconjunto de alvos recebeu Gopuram como payload final - Foco documentado em empresas de criptomoedas e exchanges no sudeste asiático **Setores afetados:** - [[financial|Financeiro]] - exchanges de criptomoedas como alvo primário do Gopuram - [[technology|Tecnologia]] - MSPs e integradores que usam 3CX para comunicação - [[telecommunications|Telecomúnicações]] - empresas que adotaram 3CX como solução UCaaS ## Relevância LATAM e Brasil O impacto direto no Brasil e LATAM foi **limitado mas relevante como precedente**. A 3CX tem presença significativa em médias empresas brasileiras de [[technology|tecnologia]] e call centers - setores que adotaram a solução como alternativa econômica às plataformas tradicionais de telefonia IP. O ataque demonstrou que organizações que usam software VoIP/UCaaS de fornecedores de terceiros são vulneráveis a ataques de supply chain, independentemente da robustez de seus próprios controles internos. O modelo duplo de supply chain adotado pela [[g0032-lazarus-group|Lazarus Group]] foi replicado em campanhas posteriores que afetam a região, especialmente no [[financial|setor financeiro]] LATAM, onde a Lazarus mantém interesse estratégico em furto de criptoativos - conforme documentado no [[bybit-heist-2025|Bybit Heist de 2025]]. ## Mitigação **Ações técnicas:** - Verificar integridade de instaladores via hashes públicados pelo fornecedor antes de instalar - Monitorar processos spawned por aplicações VoIP/UCaaS - comportamento anômalo é indicativo - Aplicar [[m1051-update-software|M1051]] - atualizar para versões seguras e verificar hashes **Controles estratégicos:** - Implementar [[m1032-multi-factor-authentication|M1032]] - MFA obrigatório em sistemas de build e CI/CD - Aplicar [[m1026-privileged-account-management|M1026]] - workstations de desenvolvedores não devem ter acesso direto a sistemas de build - Monitorar via [[ds-0022-file-access|DS-0022]] - acesso incomum a artefatos de build e sistemas de assinatura de código ## Referências - [1](https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise) Mandiant - 3CX Software Supply Chain Compromise (2023) - [2](https://attack.mitre.org/campaigns/C0057/) MITRE ATT&CK - C0057 3CX Supply Chain Attack (2023) - [3](https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp/) CrowdStrike - Active Intrusion Campaign Targeting 3CX (2023) - [4](https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/) SentinelOne - SmoothOperator Campaign (2023) - [5](https://www.kaspersky.com/about/press-releases/2023_kaspersky-links-3cx-supply-chain-attack-to-lazarus-apt) Kaspersky - 3CX Attack Linked to Lazarus APT (2023) - [6](https://www.3cx.com/blog/news/supply-chain-attack/) 3CX - Supply Chain Attack Statement (2023)