# CVE-2023-29059 > [!critical] Ataque de Supply Chain no 3CX - Operação do Lazarus Group > Backdoor implantado no instalador oficial do 3CX Desktop App pelo grupo **Lazarus** (Coreia do Norte), distribuído para mais de 600.000 empresas como atualização legítima. Um dos maiores ataques de supply chain de 2023. ## Visão Geral A [[cve-2023-29059|CVE-2023-29059]] está associada ao comprometimento da cadeia de suprimentos da aplicação **3CX Desktop App**, um cliente VoIP/PBX amplamente utilizado por empresas globalmente. O [[lazarus-group|Lazarus Group]] (atribuído à Coreia do Norte) comprometeu o processo de build do 3CX e inseriu um backdoor nos instaladores oficiais para Windows e macOS — que foram assinados digitalmente e distribuídos via canais legítimos de atualização. A campanha, denominada [[3cx-supply-chain|3CX Supply Chain Attack]], afetou potencialmente mais de 600.000 empresas clientes do 3CX em todo o mundo. O malware implantado buscava um arquivo ICO hospedado no GitHub que continha URLs de servidores C2 codificadas em base64, seguido do download de um infostealer focado em dados do navegador e credenciais. Este caso é paradigmático na análise de ataques de supply chain: a solução utilizada por empresas para comunicação corporativa se tornou o vetor de comprometimento. A investigação posterior revelou que o próprio 3CX havia sido comprometido por uma cadeia anterior — o instalador Trading Technologies X_TRADER, também trojanizado pelo Lazarus Group. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Produto | 3CX Desktop App | | Tipo | Supply Chain / Backdoor em software legítimo | | Plataformas | Windows e macOS | | Distribuição | Atualização automática via CDN oficial | | Assinatura Digital | Sim (certificado legítimo da 3CX) | | C2 | Arquivos ICO no GitHub (steganografia) | | CVSS Base | 9.8 | ## Cadeia de Comprometimento 1. Lazarus Group compromete instalador Trading Technologies X_TRADER 2. Funcionário 3CX instala X_TRADER trojanizado em máquina pessoal 3. Lazarus move-se lateralmente para ambiente de build da 3CX 4. Backdoor inserido nos instaladores 3CX para Windows e macOS 5. Instaladores assinados digitalmente e distribuídos via update oficial 6. Clientes instalam "atualização" — máquinas conectam ao C2 via GitHub ICOs 7. Infostealer rouba credenciais do navegador e dados de sessão ## TTPs Relacionados - [[t1195-002-compromise-software-supply-chain|T1195.002]] - Comprometimento da Cadeia de Suprimentos de Software - [[t1059-001-powershell|T1059]] - Interpretador de Comandos - [[t1539-steal-web-session-cookie|T1539]] - Roubo de Cookies de Sessão Web - [[t1553-002-code-signing|T1553.002]] - Assinatura de Código ## Mitigação - Desinstalar imediatamente versões afetadas do 3CX Desktop App - Instalar versão corrigida (Electron App 18.12.422 ou superior) - Revogar credenciais salvas em navegadores em máquinas comprometidas - Monitorar tráfego de saída para domínios/IPs de C2 conhecidos - Auditoria de todas as ferramentas de comunicação de terceiros no ambiente > [!latam] Relevância para Brasil e LATAM > O 3CX é amplamente adotado por empresas brasileiras de médio e grande porte como solução de telefonia VoIP corporativa. A natureza do ataque — distribuído como atualização legítima — torna impossível a detecção sem análise ativa de comportamento. Organizações que utilizavam 3CX Desktop App em 2023 devem conduzir revisão de segurança de máquinas que receberam as versões comprometidas. ## Referências - [Mandiant - X_TRADER supply chain analysis](https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise) - [CrowdStrike - 3CX compromise analysis](https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp/) - [NVD - CVE-2023-29059](https://nvd.nist.gov/vuln/detail/CVE-2023-29059)