Les experts de Kaspersky ont analysé l'attaque de la chaîne d'approvisionnement menée via le programme VoIP populaire 3CXDesktopApp et ont installé un voleur d'informations ou une porte dérobée. Au cours de l'analyse, ils ont trouvé une bibliothèque de liens dynamiques (DLL) suspecte sur un ordinateur, qui a été chargée dans le processus 3CXDesktopApp.exe infecté.
Les experts de Kaspersky ont lancé une enquête sur une affaire liée à cette DLL le 21 mars, environ une semaine avant la découverte de l'attaque de la chaîne d'approvisionnement. Cette DLL a été utilisée dans les déploiements de la porte dérobée "Gopuram" et est surveillée par Kaspersky depuis 2020. De plus, l'analyse montre que Gopuram coexiste sur des ordinateurs qui ont été attaqués avec AppleJeus. AppleJeus est l'un Porte dérobée dédiée à l'acteur menaçant de langue coréenne Lazarus est attribué.
Le BSI – Office fédéral de la sécurité de l'information, a maintenant émis un avertissement concernant l'application pour le programme VoIP 3CX Desktop. L'Office a également enregistré qu'après une installation réussie se connecte à un Serveur de commande et de contrôle (serveur C&C) s'accumule et d'autres logiciels malveillants sont rechargés.
L'Allemagne dans le plus grand groupe
Les installations du logiciel 3CX infecté se trouvent dans le monde entier, cependant, le Brésil, l'Allemagne, l'Italie et la France ont le plus de cas. Gopuram, en revanche, a été observé sur moins de dix ordinateurs, ce qui suggère que les attaquants sont fortement ciblés par la porte dérobée. Les attaquants semblent avoir un intérêt particulier pour les sociétés de crypto-monnaie.
"Infostealer n'est pas la seule charge utile malveillante déployée lors de l'attaque", explique Georgy Kucherin, chercheur en sécurité au sein de l'équipe mondiale de recherche et d'analyse (GReAT) de Kaspersky. "L'acteur de la menace derrière Gopuram infecte en outre les ordinateurs cibles avec la porte dérobée complète et modulaire Gopuram. Nous pensons que Gopuram est le principal implant et la charge utile finale de la chaîne d'attaque. Notre enquête est en cours et nous analyserons plus en détail les implants utilisés pour en savoir plus sur l'ensemble d'outils utilisés dans l'attaque de la chaîne d'approvisionnement.
Plus sur Kaspersky.com
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/