Gli esperti di Kaspersky hanno analizzato l'attacco alla supply chain effettuato tramite il popolare programma VoIP 3CXDesktopApp e hanno installato un infostealer o backdoor. Durante l'analisi, hanno trovato una libreria a collegamento dinamico (DLL) sospetta su un computer, che è stata caricata nel processo 3CXDesktopApp.exe infetto.
Gli esperti di Kaspersky hanno avviato un'indagine su un caso relativo a questa DLL il 21 marzo, circa una settimana prima della scoperta dell'attacco alla catena di approvvigionamento. Questa DLL è stata utilizzata nelle distribuzioni della backdoor "Gopuram" ed è stata monitorata da Kaspersky dal 2020. Inoltre, l'analisi mostra che Gopuram coesiste su computer che sono stati attaccati con AppleJeus. AppleJeus è uno Backdoor dedicata all'attore di minacce in lingua coreana Lazarus viene attribuito.
Il BSI – Ufficio federale per la sicurezza delle informazioni, ha ora emesso un avviso sull'app per il programma VoIP 3CX Desktop. L'ufficio ha anche registrato che dopo l'installazione riuscita si connette a a Server di comando e controllo (server C&C) si accumula e viene ricaricato ulteriore malware.
Germania nel gruppo più numeroso
Le installazioni del software 3CX infetto si trovano in tutto il mondo, tuttavia Brasile, Germania, Italia e Francia hanno il maggior numero di casi. Gopuram, d'altra parte, è stato osservato su meno di dieci computer, suggerendo che gli aggressori sono altamente presi di mira con la backdoor. Gli aggressori sembrano avere un particolare interesse per le società di criptovalute.
"Infostealer non è l'unico payload dannoso distribuito durante l'attacco", spiega Georgy Kucherin, ricercatore di sicurezza nel Global Research and Analysis Team (GReAT) di Kaspersky. “L'autore della minaccia dietro Gopuram infetta inoltre i computer di destinazione con la backdoor Gopuram modulare e completa. Riteniamo che Gopuram sia l'impianto principale e il carico utile finale nella catena di attacco. La nostra indagine è in corso e analizzeremo gli impianti utilizzati in modo più dettagliato per scoprire maggiori dettagli sul set di strumenti utilizzato nell'attacco alla catena di approvvigionamento.
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/