05/04/23
Криптовалютные компании, пострадавшие от атаки на цепочку поставок 3CX, заражаются бэкдором Gopuram, который доставляет дополнительное вредоносное ПО на целевые устройства.
В марте группировка Lazarus Group провела кибератаку на компанию 3CX, предоставляющую услуги VoIP-телефонии. В ходе кампании клиенты фирмы заражались троянскими версиями настольных приложений 3CX для Windows и macOS в ходе крупномасштабной атаки на цепочку поставок. Это передает Securitylab.
В этой атаке злоумышленники заменили две DLL-библиотеки, используемые настольным приложением Windows, на вредоносные версии, которые загружали на компьютеры трояны для кражи информации.
Недавно «Лаборатория Касперского» обнаружила , что бэкдор Gopuram, ранее использовавшийся хакерской группой Lazarus против криптовалютных компаний как минимум с 2020 года, также был развернут в качестве полезной нагрузки второго этапа в атаках на клиентов 3CX.
Gopuram — это модульный бэкдор, который выполняет следующие функции:
- Манипулирование реестром и службами Windows;
- Изменение даты двоичного файла (timestomping) для избегания обнаружения;
- Внедрение полезной нагрузки в запущенные процессы;
- Загрузка неподписанных драйверов Windows с помощью open source утилиты Kernel Driver Utility ;
- Частичное управление заражённым устройством через команду «net».
Новые заражения Gopuram позволили отнести атаку на 3CX к группе Lazarus. Исследователи «Лаборатории Касперского» считают, что Gopuram является основным имплантом и полезной нагрузкой последнего этапа в цепочке атак на 3CX. В марте 2023 года количество заражений Gopuram по всему миру увеличилось: злоумышленники доставили вредоносную библиотеку (wlbsctrl.dll) и зашифрованный шелл-код (.TxR.0.regtrans-ms) в системы криптовалютных компаний, затронутых атакой на цепочку поставок 3CX.
Телеметрия показала, что заражениям подверглись устройства по всему миру, при этом самые высокие показатели заражения наблюдаются в Бразилии, Германии, Италии и Франции. Поскольку бэкдор Gopuram был развернут менее чем на 10 зараженных машинах, это указывает на целенаправленность атак, а также на то, что злоумышленники проявляют особый интерес к криптовалютным компаниям.
