# POOLRAT > [!high] Backdoor macOS do Lazarus - Ataque de Cadeia de Suprimentos 3CX > POOLRAT é um backdoor macOS escrito em C/C++ utilizado pelo grupo norte-coreano **Lazarus** (cluster UNC4736 / AppleJeus), identificado como ferramenta que comprometeu o servidor de build macOS da empresa **3CX** no ataque de cadeia de suprimentos de março de 2023. O mesmo backdoor foi identificado em operações anteriores da **Operação AppleJeus**, demonstrando continuidade de uso pelo grupo em campanhas de roubo de criptomoedas. O 3CX é usado por mais de 600.000 empresas e 12 milhões de usuários. ## Visão Geral O POOLRAT foi identificado pela Mandiant (Google) durante a investigação do ataque de cadeia de suprimentos ao software 3CX em março de 2023 - um dos casos mais emblemáticos de "double supply chain attack" documentados. Inicialmente, o backdoor foi classificado erroneamente como SIMPLESEA por outros pesquisadores, mas análise posterior da Mandiant confirmou que se tratava do POOLRAT, já conhecido de operações anteriores da Operação AppleJeus. O ataque ao 3CX foi notável por sua complexidade em cascata: o servidor de build macOS da 3CX foi comprometido com o POOLRAT, o que permitiu ao grupo norte-coreano trojanizar a aplicação de desktop 3CX para Windows e macOS antes que fosse distribuída aos clientes. O resultado foi que uma aplicação legítima, assinada e notarizada pela Apple, foi distribuída para milhares de organizações com malware embutido - um ataque de supply chain que originou de outro supply chain attack prévio contra a empresa Trading Technologies. O POOLRAT em si é um backdoor C/C++ macOS com capacidades fundamentais mas eficazes: coleta informações do sistema, permite execução de comandos shell arbitrários, realiza operações de arquivo (criação, leitura, escrita, deleção segura), e persiste via Launch Daemons. A configuração criptografada do malware é armazenada em `/private/etc/krb5d.conf`, um caminho que simula um arquivo de configuração Kerberos legítimo. ## Como Funciona **Comprometimento do servidor macOS (3CX):** 1. Funcionário da 3CX instalou X_TRADER trojanizado (supply chain comprometido pela Trading Technologies em 2022) 2. O VEILEDSIGNAL backdoor foi implantado via X_TRADER, obtendo credenciais corporativas 3. Atacantes acessaram a rede da 3CX via VPN com credenciais comprometidas 4. Movimento lateral até o servidor de build macOS 5. POOLRAT instalado no servidor macOS via Launch Daemons para persistência **Capacidades técnicas do POOLRAT:** - **Reconhecimento**: hostname, IP, versão macOS via `sw_vers`; informações do host enviadas ao C2 - **Execução de comandos**: comandos shell arbitrários executados no host comprometido - **Operações de arquivo**: leitura, escrita, criação e deleção segura de arquivos - **Persistência**: Launch Daemons para execução contínua mesmo após reinicialização - **Configuração**: armazenada criptografada em `/private/etc/krb5d.conf` (simula arquivo Kerberos legítimo) - **Assinatura**: binário assinado com certificado ad hoc para reduzir alertas de Gatekeeper **Conexão com AppleJeus:** - Versões anteriores do POOLRAT foram usadas em campanhas AppleJeus com apps de trading trojanizadas (CoinGoTrade, JMT Trading) - Domínio C2 `journalide[.]org` compartilhado entre o ataque 3CX e campanhas Operation DreamJob - Sobreposição de infraestrutura com APT43 (UNC3782, UNC4469) ## Attack Flow ```mermaid graph TB A["X_TRADER Trojanizado<br/>Supply Chain compromisso<br/>Trading Technologies 2022"] --> B["VEILEDSIGNAL<br/>Backdoor obtido<br/>Credenciais 3CX"] B --> C["Acesso VPN 3CX<br/>Credenciais roubadas<br/>Movimento lateral"] C --> D["Build Server macOS<br/>POOLRAT instalado<br/>Launch Daemon"] D --> E["3CX App Trojanizada<br/>libffmpeg.dylib<br/>maliciosa inserida"] E --> F["Distribuição legit<br/>600k empresas<br/>12M usuarios afetados"] F --> G["ICONIC Stealer<br/>Dados de navegador<br/>Chrome Edge Firefox"] G --> H["Gopuram Backdoor<br/>Empresas de cripto<br/>Roubo financeiro"] ``` **Legenda:** [[lazarus-group]] · [[unc4736]] · [[3cx-supply-chain]] · [[operation-applejeus]] · [[t1195-002-compromise-software-supply-chain|T1195.002]] · [[t1543-004-launch-daemon|T1543.004]] ## Timeline ```mermaid timeline title POOLRAT / 3CX Supply Chain - Linha do Tempo 2020-2022 : AppleJeus campanha : CoinGoTrade, JMT Trading : POOLRAT em versao anterior 2022-02 : Trading Technologies comprometida : IFRAME malicioso implantado : CVE-2022-0609 explorado 2022 : X_TRADER Trojanizado : Funcionario 3CX infectado : VEILEDSIGNAL implantado 2023-03-22 : 3CX trojanizado detectado : AV alerta false positivo : 3CX confirma comprometimento 2023-03-29 : CrowdStrike SentinelOne : Análises publicadas : Supply chain confirmado 2023-04 : Mandiant identifica : Double supply chain : POOLRAT (nao SIMPLESEA) 2023-05 : Atribuicao confirmada : Lazarus UNC4736 : Vinculado AppleJeus ``` ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Supply Chain Compromise | [[t1195-002-compromise-software-supply-chain\|T1195.002]] | Comprometimento do build server macOS para trojanizar 3CX | | Launch Daemon | [[t1543-004-launch-daemon\|T1543.004]] | Persistência via Launch Daemons no servidor macOS | | Unix Shell | [[t1059-004-unix-shell\|T1059.004]] | Execução de comandos shell arbitrários via backdoor | | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | sw_vers, hostname, IP para fingerprinting do host | | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Deleção segura de arquivos para limpar rastros | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Configuração criptografada em /private/etc/krb5d.conf | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 via HTTP com servidor controlado pelo atacante | ## Relevância para o Brasil e LATAM > [!latam] 3CX Amplamente Usado em Empresas Brasileiras > O **3CX** é amplamente utilizado em empresas brasileiras de médio porte como solução de **VoIP e comunicação unificada**. Organizações nos setores **financeiro**, **saúde** e **tecnologia** que usavam o 3CX Desktop App estavam diretamente expostas ao malware trojanizado. O conceito de double supply chain attack é aplicável a qualquer ecossistema de software ERP/CRM no Brasil. O ataque ao 3CX e o POOLRAT têm relevância direta para o Brasil: **3CX no Brasil:** - O 3CX é amplamente utilizado em empresas brasileiras de médio porte como solução de VoIP e comunicação unificada - Organizações nos setores de [[financial|financeiro]], [[healthcare|saúde]] e [[technology|tecnologia]] brasileiros que usavam o 3CX Desktop App estavam diretamente expostas ao malware distribuído - O ataque demonstrou que software legítimo, assinado e verificado pela Apple, pode ser vetor de infecção **Padrão de ataque double supply chain:** - O conceito de ataque em cascata - comprometer um fornecedor para comprometer outro - é aplicável a qualquer ecosystem de software no Brasil - Fornecedores de software de gestão (ERP, CRM) e infraestrutura de comunicação brasileiros são potenciais vetores similares - A [[lgpd|LGPD]] expõe empresas brasileiras a notificação obrigatória quando dados de clientes são comprometidos via supply chain **Lições para o ecossistema LATAM:** - Verificar integridade de atualizações de software via hash criptográfico, mesmo de fornecedores confiáveis - Monitorar comportamento anômalo de aplicativos corporativos via [[ds0009-process-creation|DS0009]] - Implementar [[m1013-application-developer-guidance|M1013]] com auditoria de supply chain para fornecedores críticos ## Detecção e Defesa **Indicadores de comprometimento:** > [!ioc]- IOCs - POOLRAT / 3CX Supply Chain (TLP:GREEN) > **Artefatos macOS:** > Arquivo /private/etc/krb5d.conf com conteúdo não-Kerberos (criptografado) > Launch Daemon suspeito referênciando binário em caminho incomum > Binário assinado ad hoc em localização inesperada > > **3CX trojanizado (histórico):** > 3CXDesktopApp.exe ou 3CXDesktopApp.dmg de versões comprometidas > libffmpeg.dylib com strings XOR-encoded (key 0x7a) > Processo UpdateAgent criado por 3CXDesktopApp > > **Fonte:** Mandiant M-Trends · CISA Advisory · SentinelOne Research **Mitigações recomendadas:** - Implementar [[m1051-update-software|M1051]] com verificação de hash criptográfico para atualizações de software corporativo - Usar [[m1030-network-segmentation|M1030]] para isolar sistemas de build e limitar impacto de comprometimento - Monitorar Launch Daemons via [[ds0009-process-creation|DS0009]] para entradas não autorizadas em macOS - Aplicar [[m1049-antivirus|M1049]] com suporte macOS para detectar backdoors em servidores de build - Implementar [[m1016-vulnerability-scanning|M1016]] com análise de integridade de binários distribuídos ## Referências - [1](https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise) Mandiant - 3CX Software Supply Chain Compromise (2023) - [2](https://attack.mitre.org/campaigns/C0057/) MITRE ATT&CK - 3CX Supply Chain Attack C0057 (2023) - [3](https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software/) SentinelOne - SmoothOperator 3CX Campaign (2023) - [4](https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp/) CrowdStrike - 3CX Active Intrusion Campaign (2023) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/osx.poolrat) Malpedia - POOLRAT Entry - [6](https://www.bleepingcomputer.com/news/security/3cx-confirms-north-korean-hackers-behind-supply-chain-attack/) BleepingComputer - 3CX Confirms North Korean Hackers (2023)