Kaspersky uzmanları, popüler VoIP programı 3CXDesktopApp aracılığıyla gerçekleştirilen tedarik zinciri saldırısını analiz etti ve bir bilgi hırsızı veya arka kapı kurdu. Analiz sırasında, bir bilgisayarda virüslü 3CXDesktopApp.exe işlemine yüklenmiş şüpheli bir dinamik bağlantı kitaplığı (DLL) buldular.
Kaspersky uzmanları, tedarik zinciri saldırısının keşfedilmesinden yaklaşık bir hafta önce, 21 Mart'ta bu DLL ile ilgili bir olayla ilgili soruşturma başlattı. Bu DLL, "Gopuram" arka kapısının dağıtımlarında kullanıldı ve 2020'den beri Kaspersky tarafından izleniyor. Ayrıca analiz, Gopuram'ın AppleJeus ile saldırıya uğrayan bilgisayarlarda bir arada bulunduğunu gösteriyor. AppleJeus birdir Korece konuşan tehdit aktörü Lazarus'a adanmış arka kapı atfedilir.
BSI – Federal Bilgi Güvenliği Ofisi, şimdi VoIP programı 3CX Desktop için uygulama hakkında bir uyarı yayınladı. Office ayrıca, başarılı kurulumdan sonra bir ağa bağlandığını kaydetti. Komuta ve Kontrol sunucusu (C&C sunucusu) oluşur ve daha fazla kötü amaçlı yazılım yeniden yüklenir.
Almanya en büyük grupta
Virüslü 3CX yazılımının kurulumları dünya çapında bulunur, ancak en çok vaka Brezilya, Almanya, İtalya ve Fransa'da görülür. Gopuram ise ondan daha az bilgisayarda gözlemlendi, bu da saldırganların arka kapı ile yüksek oranda hedef alındığını gösteriyor. Saldırganların kripto para şirketlerine özel bir ilgisi var gibi görünüyor.
Kaspersky'nin Küresel Araştırma ve Analiz Ekibi'nde (GReAT) güvenlik araştırmacısı olan Georgy Kucherin, "Saldırı sırasında dağıtılan tek kötü amaçlı yük Infostealer değil," diye açıklıyor. "Gopuram'ın arkasındaki tehdit aktörü, hedef bilgisayarlara ayrıca tam özellikli, modüler Gopuram arka kapısı ile bulaşıyor. Gopuram'ın saldırı zincirindeki ana implant ve son yük olduğuna inanıyoruz. Araştırmamız devam ediyor ve tedarik zinciri saldırısında kullanılan araç seti hakkında daha fazla ayrıntı bulmak için kullanılan implantları daha ayrıntılı bir şekilde analiz edeceğiz."
Kaspersky.com'da daha fazlası
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi