Kaspersky の専門家は、人気のある VoIP プログラム 3CXDesktopApp を介して実行されたサプライ チェーン攻撃を分析し、インフォスティーラーまたはバックドアをインストールしました。 分析中に、彼らは 3 台のコンピューターで疑わしいダイナミック リンク ライブラリ (DLL) を発見しました。これは、感染した XNUMXCXDesktopApp.exe プロセスにロードされていました。
Kaspersky の専門家は、サプライ チェーン攻撃が発見される約 21 週間前の 2020 月 XNUMX 日に、この DLL に関連する事件の調査を開始しました。 この DLL は「Gopuram」バックドアの展開に使用され、XNUMX 年から Kaspersky によって監視されています。 さらに、分析は、AppleJeus で攻撃されたコンピューターに Gopuram が共存していることを示しています。 AppleJeusはXNUMXつです 韓国語の攻撃者 Lazarus 専用のバックドア 帰属されます。
BSI – 連邦情報セキュリティ局、 は、VoIP プログラム 3CX Desktop のアプリに関する警告を発行しました。 オフィスはまた、インストールが成功した後に接続することを登録しました コマンド アンド コントロール サーバー (C&C サーバー) が構築され、さらにマルウェアがリロードされます。
最大グループのドイツ
感染した 3CX ソフトウェアのインストールは世界中で見られますが、ブラジル、ドイツ、イタリア、フランスが最も多くのケースを抱えています。 一方、Gopuram は XNUMX 台未満のコンピューターで観測されており、攻撃者がバックドアの標的にされていることを示唆しています。 攻撃者は、暗号通貨企業に特に関心を持っているようです。
Kaspersky の Global Research and Analysis Team (GReAT) のセキュリティ研究者である Georgy Kucherin 氏は、次のように説明しています。 「Gopuram の背後にいる脅威アクターは、フル機能のモジュラー Gopuram バックドアで標的のマシンにさらに感染します。 私たちは、Gopuram が攻撃チェーンの主要なインプラントであり、最終的なペイロードであると考えています。 調査は進行中であり、使用されたインプラントをより詳細に分析して、サプライ チェーン攻撃で使用されたツールセットの詳細を明らかにします。」
詳細は Kaspersky.com をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。