# 3CX Supply Chain Attack > [!danger] Supply Chain em Cascata - Lazarus Group > O **3CX Supply Chain Attack** foi o primeiro caso documentado de um comprometimento de cadeia de suprimentos desencadeando outro em cascata: o software X_Trader (Trading Technologies) foi comprometido, infectou um funcionario da 3CX, que por sua vez contaminou o cliente desktop 3CX distribuido a **600.000 organizacoes e 12 milhões de usuarios** globalmente. Atribuido ao [[g0032-lazarus-group|Lazarus Group]] / UNC4736 (Coreia do Norte). ## Visão Geral O **3CX Supply Chain Attack** (MITRE C0057) foi uma operação de espionagem e roubo financeiro conduzida pelo [[g0032-lazarus-group|Lazarus Group]] (UNC4736, nexo Coreia do Norte) entre novembro de 2022 e marco de 2023. A campanha estabeleceu um precedente historico ao demonstrar que um supply chain attack pode ser usado como vetor para desencadear outro - criando uma cadeia de compromisso de dois estagios que potencialmente expoe dezenas de milhares de organizacoes. O ataque teve inicio quando um funcionario da 3CX baixou e executou uma versao trojanizada do software de negociacao financeira **X_Trader** da Trading Technologies - produto já descontinuado mas ainda disponível para download. O download instalou o malware **VEILEDSIGNAL** no dispositivo do funcionario, permitindo ao UNC4736 obter acesso ao ambiente de desenvolvimento da 3CX. A partir dai, o grupo comprometeu os pipelines de build para Windows e macOS e inseriu código malicioso no cliente desktop da 3CX - distribuido com assinatura de código válida a 600.000 clientes corporativos, incluindo BMW, Honda, Ikea, NHS e o Sistema 911 de emergência dos EUA. O targeting final foi seletivo: apesar do acesso massivo, o [[g0032-lazarus-group|Lazarus Group]] focou seus ataques em organizacoes dos setores de defesa e criptomoedas, implantando o payload final **Gopuram** para roubo de credenciais - alinhado com o padrao historico do grupo de combinar espionagem e motivacao financeira. A campanha ficou ativa por quatro meses antes de a CrowdStrike detectar comportamento anomalo do cliente 3CX e alertar públicamente em marco de 2023. ## Attack Flow ```mermaid graph TB A["🎯 Estagio 1 - X_Trader<br/>Funcionario 3CX baixa X_Trader<br/>trojanizado (Trading Technologies)"] --> B["💥 VEILEDSIGNAL<br/>Malware infecta dispositivo<br/>do funcionario 3CX"] B --> C["🔓 Acesso ao Build Pipeline<br/>UNC4736 compromete pipelines<br/>Windows e macOS da 3CX"] C --> D["📦 Estagio 2 - 3CX Client<br/>Código malicioso inserido no<br/>cliente desktop 3CX (assinado)"] D --> E["🌍 Distribuição em Massa<br/>600K organizacoes recebem<br/>update comprometido"] E --> F["🪝 Dead Drop Resolver<br/>Strings cifradas em arquivos .ico<br/>hospedados no GitHub"] F --> G["💉 ICONIC Stealer<br/>Backdoor injetado em memoria<br/>coleta info do sistema"] G --> H{Targeting seletivo} H -->|Defesa / Cripto| I["🎯 Gopuram<br/>Roubo de credenciais em<br/>alvos de alto valor"] H -->|Outros| J["Acesso dormente<br/>sem payload adicional"] ``` ## Linha do Tempo | Data | Evento | |------|--------| | 2022-11 | Funcionario da 3CX baixa X_Trader trojanizado; VEILEDSIGNAL infecta o dispositivo | | 2022-11 | UNC4736 obtem acesso ao ambiente de desenvolvimento da 3CX via dispositivo comprometido | | 2022-12 | Comprometimento dos pipelines de build Windows e macOS da 3CX | | 2023-01 | Versoes trojanizadas do cliente 3CX Desktop comecam a ser distribuidas | | 2023-03-07 | CrowdStrike detecta comportamento anomalo do cliente 3CX e alerta a empresa | | 2023-03-29 | 3CX emite advisory público e recomenda desinstalacao do cliente comprometido | | 2023-04 | Mandiant (Google) atribui o ataque ao UNC4736 / Lazarus Group (Coreia do Norte) | | 2023-04 | X_Trader identificado como vetor inicial - primeiro supply chain em cascata documentado | ## TTPs Utilizadas (Mapa ATT&CK) | Tática | Técnica | ID | Observacao na Campanha | |--------|---------|-----|------------------------| | Initial Access | Compromise Supply Chain | [[t1195-002-compromise-software-supply-chain\|T1195.002]] | Comprometimento em cascata: X_Trader → 3CX → alvos finais | | Defense Evasion | DLL Side-Loading | [[t1574-001-dll\|T1574.001]] | Cliente 3CX carrega DLL maliciosa via processo legítimo | | Defense Evasion | Code Signing | [[t1553-002-code-signing\|T1553.002]] | Updates distribuidos com assinatura digital válida da 3CX | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Strings cifradas nos arquivos .ico para evasão | | Command & Control | Dead Drop Resolver | [[t1102-001-dead-drop-resolver\|T1102.001]] | Strings criptografadas em arquivos .ico no GitHub | | Execution | Reflective Code Loading | [[t1620-reflective-code-loading\|T1620]] | ICONIC Stealer injetado diretamente em memoria | | Execution | Process Injection | [[t1055-process-injection\|T1055]] | Backdoor injetado no processo do cliente 3CX | | Discovery | Browser Information Discovery | [[t1217-browser-information-discovery\|T1217]] | Coleta de dados de sessao e credenciais armazenadas | ## Malware e Ferramentas - **VEILEDSIGNAL** - backdoor implantado pelo X_Trader trojanizado; permitiu acesso ao ambiente de dev 3CX - **ICONIC Stealer** - backdoor in-memory injetado no cliente 3CX; coleta informações do sistema e entrega payload - **Gopuram** - payload final focado em roubo de credenciais; implantado seletivamente em alvos de defesa/cripto - [[s1144-frp|FRP]] (Fast Reverse Proxy) - utilizado para tunelamento de C2 em alvos comprometidos ## Alvos e Impacto | Metrica | Dado | |---------|------| | Clientes potencialmente expostos | 600.000 organizacoes; 12 milhões de usuarios | | Setores efetivamente alvejados | Defesa e criptomoedas (targeting seletivo) | | Período de atividade silenciosa | Novembro 2022 a marco 2023 | | Método de detecção | CrowdStrike - comportamento anomalo do cliente 3CX | | Clientes notaveis em risco | BMW, Honda, Ikea, NHS, Sistema 911 dos EUA | O ataque demonstrou que o [[g0032-lazarus-group|Lazarus Group]] possui capacidade de conduzir supply chain attacks sofisticados em cascata - comprometendo um software de nicho para comprometer um software amplamente distribuido, maximizando o alcance com esforco mínimo. O targeting seletivo indica uso estratégico da posicao de acesso para objetivos específicos de espionagem e roubo financeiro. ## Relevância LATAM/Brasil - Organizacoes brasileiras que utilizavam o cliente desktop 3CX durante novembro 2022 - marco 2023 devem considerar auditoria forense de seus sistemas - O ataque demonstra o risco de supply chain via software de comunicação corporativa - categoria amplamente usada no Brasil (3CX compete com Microsoft Teams, Zoom e soluções de PABX IP) - O modelo de ataque em cascata (X_Trader → 3CX → alvos finais) e um padrao que pode ser replicado por qualquer ator com acesso a um elo da cadeia de desenvolvimento - Empresas brasileiras do setor de defesa, tecnologia e criptomoedas com parceiros internacionais devem revisar controles de segurança de supply chain de software ## Mitigação - Implementar verificação de integridade de software (SBOM - Software Bill of Materials) em todos os componentes de terceiros - Monitorar comportamento anomalo de clientes de comunicação (netflow, processos filho inesperados) - Adotar politicas de zero-trust para atualizacoes automaticas de software corporativo - Revisar e descontinuar software legado de fornecedores (como X_Trader) mesmo que nao sejá mais distribuido ativamente - Inspecionar assinaturas de código: válidade do certificado nao garante segurança do binario ## Referências - [MITRE ATT&CK - C0057](https://attack.mitre.org/campaigns/C0057/) - [Mandiant - UNC4736: The X_Trader Software Supply Chain Attack](https://www.mandiant.com/) (2023-04) - [CrowdStrike - 3CX Supply Chain Attack](https://www.crowdstrike.com/blog/) (2023-03) - [Securelist - Kaspersky analysis of 3CX supply chain](https://securelist.com/) (2023-04)