Daily Archives: April 20, 2023

3CX Breach Was a Double Supply Chain Compromise

Posted on by

We learned some remarkable new details this week about the recent supply-chain attack on VoIP software provider 3CX, a complex, lengthy intrusion that has the makings of a cyberpunk spy novel: North Korean hackers using legions of fake executive accounts on LinkedIn to lure people into opening malware disguised as a job offer; malware targeting Mac and Linux users working at defense and cryptocurrency firms; and software supply-chain attacks nested within earlier supply chain attacks.

Researchers at ESET say this job offer from a phony HSBC recruiter on LinkedIn was North Korean malware masquerading as a PDF file.

In late March 2023, 3CX disclosed that its desktop applications for both Windows and macOS were compromised with malicious code that gave attackers the ability to download and run code on all machines where the app was installed. 3CX says it has more than 600,000 customers and 12 million users in a broad range of industries, including aerospace, healthcare and hospitality.

3CX hired incident response firm Mandiant, which released a report on Wednesday that said the compromise began in 2022 when a 3CX employee installed a malware-laced software package distributed via an earlier software supply chain compromise that began with a tampered installer for X_TRADER, a software package provided by Trading Technologies.

“This is the first time Mandiant has seen a software supply chain attack lead to another software supply chain attack,” reads the April 20 Mandiant report.

Mandiant found the earliest evidence of compromise uncovered within 3CX’s network was through the VPN using the employee’s corporate credentials, two days after the employee’s personal computer was compromised.

“Eventually, the threat actor was able to compromise both the Windows and macOS build environments,” 3CX said in an April 20 update on their blog.

Mandiant concluded that the 3CX attack was orchestrated by the North Korean state-sponsored hacking group known as Lazarus, a determination that was independently reached earlier by researchers at Kaspersky Lab and Elastic Security.

Mandiant found the compromised 3CX software would download malware that sought out new instructions by consulting encrypted icon files hosted on GitHub. The decrypted icon files revealed the location of the malware’s control server, which was then queried for a third stage of the malware compromise — a password stealing program dubbed ICONICSTEALER.

The double supply chain compromise that led to malware being pushed out to some 3CX customers. Image: Mandiant.

Meanwhile, the security firm ESET today published research showing remarkable similarities between the malware used in the 3CX supply chain attack and Linux-based malware that was recently deployed via fake job offers from phony executive profiles on LinkedIn. The researchers said this was the first time Lazarus had been spotted deploying malware aimed at Linux users.

As reported in a recent series last summer here, LinkedIn has been inundated this past year by fake executive profiles for people supposedly employed at a range of technology, defense, energy and financial companies. In many cases, the phony profiles spoofed chief information security officers at major corporations, and some attracted quite a few connections before their accounts were terminated.

Mandiant, Proofpoint and other experts say Lazarus has long used these bogus LinkedIn profiles to lure targets into opening a malware-laced document that is often disguised as a job offer. This ongoing North Korean espionage campaign using LinkedIn was first documented in August 2020 by ClearSky Security, which said the Lazarus group operates dozens of researchers and intelligence personnel to maintain the campaign globally.

Microsoft Corp., which owns LinkedIn, said in September 2022 that it had detected a wide range of social engineering campaigns using a proliferation of phony LinkedIn accounts. Microsoft said the accounts were used to impersonate recruiters at technology, defense and media companies, and to entice people into opening a malicious file. Microsoft found the attackers often disguised their malware as legitimate open-source software like Sumatra PDF and the SSH client Putty.

Microsoft attributed those attacks to North Korea’s Lazarus hacking group, although they’ve traditionally referred to this group as “ZINC“. That is, until earlier this month, when Redmond completely revamped the way it names threat groups; Microsoft now references ZINC as “Diamond Sleet.”

The ESET researchers said they found a new fake job lure tied to an ongoing Lazarus campaign on LinkedIn designed to compromise Linux operating systems. The malware was found inside of a document that offered an employment contract at the multinational bank HSBC.

“A few weeks ago, a native Linux payload was found on VirusTotal with an HSBC-themed PDF lure,” wrote ESET researchers Peter Kalnai and Marc-Etienne M.Leveille. “This completes Lazarus’s ability to target all major desktop operating systems. In this case, we were able to reconstruct the full chain, from the ZIP file that delivers a fake HSBC job offer as a decoy, up until the final payload.”

ESET said the malicious PDF file used in the scheme appeared to have a file extension of “.pdf,” but that this was a ruse. ESET discovered that the dot in the filename wasn’t a normal period but instead a Unicode character (U+2024) representing a “leader dot,” which is often used in tables of contents to connect section headings with the page numbers on which those sections begin.

“The use of the leader dot in the filename was probably an attempt to trick the file manager into treating the file as an executable instead of a PDF,” the researchers continued. “This could cause the file to run when double-clicked instead of opening it with a PDF viewer.”

ESET said anyone who opened the file would see a decoy PDF with a job offer from HSBC, but in the background the executable file would download additional malware payloads. The ESET team also found the malware was able to manipulate the program icon displayed by the malicious PDF, possibly because fiddling with the file extension could cause the user’s system to display a blank icon for the malware lure.

Kim Zetter, a veteran Wired.com reporter and now independent security journalist, interviewed Mandiant researchers who said they expect “many more victims” will be discovered among the customers of Trading Technologies and 3CX now that news of the compromised software programs is public.

“Mandiant informed Trading Technologies on April 11 that its X_Trader software had been compromised, but the software maker says it has not had time to investigate and verify Mandiant’s assertions,” Zetter wrote in her Zero Day newsletter on Substack. For now, it remains unclear whether the compromised X_Trader software was downloaded by people at other software firms.

If there’s a silver lining here, the X_Trader software had been decommissioned in April 2020 — two years before the hackers allegedly embedded malware in it.

“The company hadn’t released new versions of the software since that time and had stopped providing support for the product, making it a less-than-ideal vector for the North Korean hackers to infect customers,” Zetter wrote.

from Krebs on Security https://ift.tt/6mRX1h2
via IFTTT

Ubuntu 23.04 «Lunar Lobster» llega con Gnome 44, nuevos sabores, instalador y un montón de novedades

Posted on by
Ubuntu 23.04

Cada nueva versión de Ubuntu Desktop viene repleta de nuevas características y funcionalidades

Se dio a conocer recientemente el lanzamiento de la nueva versión de Ubuntu 23.04 «Lunar Lobster», que se clasifica como un lanzamiento provisional, cuyas actualizaciones se forman dentro de los 9 meses (se brindará soporte hasta enero de 2024) y junto con la cual tambien se han liberado las imágenes de los demás sabores de Ubuntu.

En esta nueva versión que se presenta de Ubuntu 23.04 «Lunar Lobster» llega cargada de una gran cantidad de actualizaciones de paquetes, mejoras y más. Dentro de los paquetes más importantes que podremos encontrar en la nueva versión de Ubuntu 23.04 «Lunar Lobster» es el entorno de escritorio es Gnome 44 junto con el kernel de Linux 6.2, Mesa 22.3.6 y systemd 252.5.

Principales novedades de Ubuntu 23.04 «Lunar Lobster»

En Ubuntu 23.04, Gnome 44 continúa con la transición de aplicaciones para usar GTK 4 y la biblioteca libadwaita. El modo de visualización de contenido en forma de cuadrícula de iconos se ha agregado al cuadro de diálogo de selección de archivos, ademas de que se han realizado numerosos cambios en el configurador.

Otra de las novedades que podremos encontrar es el nuevo instalador para instalar Ubuntu Desktop, el cual está implementado de manera predeterminada como un complemento del instalador curtin de bajo nivel que ya usa el instalador Subiquity predeterminado de Ubuntu Server. El nuevo instalador para Ubuntu Desktop está escrito en Dart y usa el marco Flutter para construir la interfaz de usuario.

El diseño del nuevo instalador está diseñado teniendo en cuenta el estilo moderno del escritorio de Ubuntu y está diseñado para brindar una experiencia de instalación consistente para toda la línea de productos de Ubuntu. Ubuntu Server utiliza una nueva edición del instalador Subiquity que permite descargar compilaciones de servidores en modo en vivo e instalar rápidamente Ubuntu Desktop para usuarios de servidores.

Ademas de ello en Ubuntu 23.04 y como ya se había anunciado aquí en el blog, a partir de esta versión de Ubuntu dejo de admitir el soporte Flatpak en la distribución base y, de forma predeterminada, excluyeron el paquete deb flatpak y los paquetes para trabajar con el formato Flatpak en el Centro de instalación de aplicaciones del entorno base. Los usuarios de sistemas instalados anteriormente que usaban paquetes Flatpak aún podrán usar este formato después de actualizar a Ubuntu 23.04. Los usuarios que no usaron Flatpak solo tendrán acceso a Snap Store y a los repositorios regulares de la distribución, si desea usar el formato Flatpak, debe instalar por separado el paquete para admitirlo.

Por otra parte, el paquete Snap de Steam se movió a la categoría estable, que proporciona un entorno listo para iniciar juegos, lo que permite no mezclar las dependencias necesarias para los juegos con el sistema principal y obtener un entorno real preconfigurado que no requiere configuración adicional. El paquete incluye las últimas versiones de Proton, Wine y las últimas versiones de las dependencias necesarias para ejecutar juegos (el usuario no necesita realizar operaciones manuales, instalar un conjunto de bibliotecas de 32 bits y conectar repositorios PPA con controladores Mesa adicionales).

Tambien se destaca en esta nueva versión de Ubuntu el manejo mejorado de actualizaciones de paquetes en formato snap, ya que mientras que anteriormente se notificaba al usuario que había una actualización instantánea disponible, pero la instalación requería iniciar el software Ubuntu, manipular la línea de comando o esperar a que la actualización se instalara automáticamente, las actualizaciones ahora se descargan en segundo plano y se aplican tan pronto como la aplicación asociada con ellos está cerrado (cuando puede pausar la instalación de actualizaciones si lo desea).

De los demás cambios que se destacan de esta nueva versión:

  • En el Dock de Ubuntu, los íconos de las aplicaciones tienen una etiqueta con un contador de notificaciones no vistas generadas por la aplicación.
  • Las ediciones oficiales de Ubuntu incluyen la compilación Ubuntu Cinnamon, que ofrece un entorno de usuario Cinnamon construido en el estilo clásico de GNOME 2.
  • Se ha devuelto la compilación oficial de Edubuntu, ofreciendo una selección de programas educativos para niños de diferentes edades.
  • Se agregó una nueva compilación minimalista de Netboot, de 143 MB de tamaño, esta compilación se puede usar para grabar en CD/USB o para arranque dinámico a través de UEFI HTTP. La compilación proporciona un menú de texto con el que puede seleccionar la edición de Ubuntu que le interesa, cuya imagen de instalación se cargará en la RAM.

Finalmente, si estás interesado en poder conocer más al respecto puedes consultar los detalles en el siguiente enlace.

Descargar y obtener Ubuntu 23.04 «Lunar Lobster»

Para los interesados en poder descargar la nueva versión, pueden obtener la imagen de instalación desde el sitio web oficial de la distribución, asi mismo como en las páginas de los diferentes sabores de Ubuntu o pueden optar por el siguiente enlace.

from Linux Adictos https://ift.tt/YQRgKqV
via IFTTT

WINE 8.0.1 estable llega con mejoras para el Apple Silicon y corrigiendo 36 bugs

Posted on by

WINE 8.0.1

Aunque estamos más acostumbrados a los lanzamientos de cada dos semanas, esos son de desarrollo. La anterior versión estable fue la v8.0, y WineHQ ha lanzado hoy WINE 8.0.1, otra estable que corrige fallos para los que prefieren quedarse en la versión más fiable y no en esas en las que se introducen cientos de retoques cada dos semanas. El número de cambios en las versiones del canal «stable» es menor, pero no por ello menos importantes.

En los lanzamientos como el que ha tenido lugar hoy también nos hablan de menos puntos destacados, sólo dos en esta ocasión, a los que se le suma el tercero de correcciones varias. WINE 8.0.1 añade correcciones para macOS Ventura en Apple Silicon y se han actualizado las traducciones al turco y tamil. También se han introducido un total de 78 cambios, con 36 bugs corregidos.

Bugs corregidos en WINE 8.0.1 estable

  • Errores de lectura de dispositivo registrados en dmesg al ejecutar comandos wine con la unidad de CD/DVD vacía, desde 5.5.
  • Regresión: Visual Studio 2005 «fallo de carga del paquete».
  • La instalación del juego «¿Cuál es el secreto?» falla al crear el icono.
  • Free PC Audit 5.1.211.96 no muestra información en la pestaña ‘Brief’ (necesita el método GetBinaryValue de la clase StdRegProv).
  • adsldp:ldap – test_ParseDisplayName() a veces falla al conectar con el servidor.
  • El nuevo marshaller typelib depende del soporte IID_IDispatch de la interfaz de destino.
  • Chromium roto sandbox debido a GetSecurityInfo dando acceso denegado.
  • Snagit necesita la clase Win32_Volume (‘select deviceid from win32_volume where driveletter =C:’).
  • ListView no se actualiza al cambiar entre los estilos Lista y Detalles.
  • vbscript falla al compilar cuando dos puntos siguen a Else en If…Else.
  • Desbordamiento del búfer de RtlCopyContext.
  • Rich Edit inserta el texto recién compuesto en una posición incorrecta cuando la composición IME del sistema finaliza mientras hay una selección activa.
  • AviUtl muestra el texto japonés como basura después de la conversión en el cuadro de edición ExEdit.
  • crypt32:cert – testVerifyRevocation() obtiene un éxito inesperado en Wine en la segunda ejecución.
  • Mensaje fixme falso al llamar a ScrollWindow().
  • RtlGenRandom falla en sistemas con más de 128 núcleos.
  • El cargador no se ejecuta desde PATH a menos que se llame «wine».
  • ws2_32:sock – test_reuseaddr() desborda una variable sockaddr al leer en ella un nombre de par AF_INET6
    desde wine 8.0 print ya no funciona.
  • La falta de implementación de ntdll.RtlAddressInSectionTable() provoca que todas las imágenes nativas de GraalVM se bloqueen al cargarse.
  • nethack se bloquea.
  • Fuga de memoria vbscript en For Each con SafeArray como grupo.
  • Fugas de memoria vbscript en interp_redim_preserve.
  • Fugas de memoria vbscript en Global_Split.
  • VarAbs() no maneja correctamente los argumentos BSTR.
  • vbscript falla al compilar cuando la sentencia sigue a ElseIf.
  • vbscript no compila concat cuando se utiliza sin espacio y la expresión empieza por H.
  • Motorola Ready For Assistant no se inicia, necesita ext-ms-win-networking-wlanapi-l1-1-0.dll.
  • El gif se muestra mal, con fondos raros de varios colores.
  • Rich Edit se bloquea cuando se pulsa Ctrl+Derecha pasado el último párrafo.
  • La lluvia intensa de Saints Row: The Third provoca fuertes reducciones de fps.
  • El instalador de SpeedCommander 20 se bloquea al no implementarse la función .
  • HELL32.dll.Shell_GetCachedImageIndexW.
  • La ventana de edición de texto de KakaoTalk IM deja artefactos cuando el texto se desborda y aparece la barra de desplazamiento.
  • ldp.exe se bloquea al no implementarse la función wldap32.dll.ldap_set_dbg_flags.
  • ldp.exe se bloquea al intentar conectarse a un host no válido.
  • adsldp:ldap – test_DirectorySearch() falla en Windows y Linux.

WINE 8.0.1 se puede descargar desde este enlace. En la página de descargas hay instrucciones sobre cómo instalar esta y otras versiones en sistemas operativos como Linux, pero también en macOS y Android.

En cuanto a cuándo llegará la próxima versión, si mi memoria no me falla sólo se lanzó una actualización de mantenimiento de la anterior versión estable, quedándose en 7.0.1. O sí, me fallaba la memoria o la atención, puesto que se ha lanzado una más reciente hace apenas un mes. Lo que sí podemos asegurar es que el viernes de la semana que viene llegará WINE 8.7, una nueva actualización de desarrollo que introducirá cientos de cambios para preparar la próxima estable mayor que se lanzará ya en 2024.

from Linux Adictos https://ift.tt/xyJ9aKN
via IFTTT