Фахівці Kaspersky проаналізували атаку на ланцюжок поставок через популярну програму VoIP 3CXDesktopApp і встановили інфостілер або бекдор. Під час аналізу на одному комп’ютері виявили підозрілу бібліотеку динамічних посилань (DLL), яка була завантажена в заражений процес 3CXDesktopApp.exe.
Фахівці Касперського розпочали розслідування справи, пов’язаної з цією DLL, 21 березня, приблизно за тиждень до виявлення атаки на ланцюг поставок. Ця бібліотека DLL використовувалася в розгортаннях бекдору «Gopuram» і контролювалася Kaspersky з 2020 року. Крім того, аналіз показує, що Gopuram співіснує на комп’ютерах, які були атаковані за допомогою AppleJeus. AppleJeus - один Бекдор, присвячений корейськомовному актору Лазару приписується.
BSI – Федеральне відомство інформаційної безпеки, тепер видав попередження про додаток для програми VoIP 3CX Desktop. Офіс також зареєстрував, що після успішного встановлення підключається до a Сервер команди та управління (Сервер C&C) накопичується, а подальше зловмисне програмне забезпечення перезавантажується.
Німеччина в найбільшій групі
Інсталяції зараженого програмного забезпечення 3CX зустрічаються по всьому світу, однак найбільше випадків у Бразилії, Німеччини, Італії та Франції. Гопурам, з іншого боку, спостерігався на менш ніж десяти комп’ютерах, що свідчить про те, що зловмисники націлені на бекдор. Схоже, зловмисники особливо зацікавлені в криптовалютних компаніях.
«Infostealer — не єдине шкідливе корисне навантаження, яке розгортається під час атаки, — пояснює Георгій Кучерін, дослідник із питань безпеки Глобальної дослідницько-аналітичної групи Kaspersky (GReAT). «Загроза, що стоїть за Gopuram, додатково заражає цільові комп’ютери за допомогою повнофункціонального модульного бекдора Gopuram. Ми вважаємо, що Гопурам є головним імплантатом і останнім корисним навантаженням у ланцюжку атаки. Наше розслідування триває, і ми детальніше проаналізуємо використані імплантати, щоб дізнатися більше про набір інструментів, використаний для атаки на ланцюг поставок».
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/