По сообщению компании «Лаборатории Касперского», в результате атаки на цепочку поставок был установлен бэкдор на компьютерах по всему миру, но он был развернут менее чем на десяти компьютерах. Развертывание показало особый интерес к криптовалютным компаниям, добавил он.
29 марта компания Crowdstrike, занимающаяся кибербезопасностью, сообщила, что обнаружила вредоносную активность в приложении 3CXDesktopApp для программного телефона 3CX. Приложение предназначено для корпоративных клиентов. Обнаруженная вредоносная активность включала «отправку маяков на контролируемую субъектом инфраструктуру, развертывание полезной нагрузки второго этапа и, в небольшом числе случаев, действия с клавиатурой».
«Лаборатория Касперского» заявила, что подозревает в причастности связанного с Северной Кореей злоумышленника Labyrinth Chollima.3CX сказал об инфекции:
«Похоже, это была целенаправленная атака со стороны Advanced Persistent Threat, возможно, даже спонсируемая государством, которая провела сложную атаку на цепочку поставок и выбрала, кто будет загружать следующие этапы их вредоносного ПО».
«Лаборатория Касперского» уже исследовала динамическую ссылку Library (DLL), обнаруженную в одном из зараженных .exe-файлов 3CXDesktopApp. Рассматриваемая DLL использовалась для доставки бэкдора Gopuram, хотя это была не единственная вредоносная полезная нагрузка, развернутая в ходе атаки. Было обнаружено, что Gopuram сосуществует с бэкдором AppleJeus, приписываемым северокорейской группе Lazarus, добавил Касперский.
Связанный: Северокорейские хакеры притворяются криптовалютными венчурными капиталистами в новой схеме фишинга — «Лаборатория Касперского»
Зараженное программное обеспечение 3CX было обнаружено по всему миру, при этом самые высокие показатели заражения были обнаружены в Бразилии, Германии, Италии и Франции. Однако Gopuram был развернут менее чем на десяти компьютерах, демонстрируя «хирургическую точность», сказал Касперский. В прошлом вирус Gopuram был обнаружен в криптовалютной компании из Юго-Восточной Азии.
Если вам нужен всесторонний обзор текущей атаки на цепочку поставок #3CX, я создал диаграмму, показывающую ход атаки! Я обновлю ее, как только будет проведен анализ. Следите за выпуском MacOS!#cybersecurity #infosec #supplychainattack #3CXpocalypse pic.twitter.com/ANVLCgExmU
— Thomas Roccia (@fr0gger_) March 31, 2023
Приложение 3CX используют более 600 000 компаний, в том числе несколько крупных брендов, сказал Каперски со ссылкой на производителя. Зараженное приложение имело сертификацию DigiCert.
Журнал: 4 из 10 продаж NFT являются поддельными: научитесь замечать признаки фиктивной торговли
