05.04.2023 | Ким Чен Ын и его хакерский отряд: Gopuram становится основным оружием в атаке на криптовалютные компании |
Криптовалютные компании, пострадавшие от атаки на цепочку поставок 3CX , заражаются бэкдором Gopuram, который доставляет дополнительное вредоносное ПО на целевые устройства. В марте группировка Lazarus Group провела кибератаку на компанию 3CX, предоставляющую услуги VoIP-телефонии. В ходе кампании клиенты фирмы заражались троянскими версиями настольных приложений 3CX для Windows и macOS в ходе крупномасштабной атаки на цепочку поставок. В этой атаке злоумышленники заменили две DLL -библиотеки, используемые настольным приложением Windows, на вредоносные версии, которые загружали на компьютеры трояны для кражи информации. Недавно «Лаборатория Касперского» обнаружила , что бэкдор Gopuram, ранее использовавшийся хакерской группой Lazarus против криптовалютных компаний как минимум с 2020 года, также был развернут в качестве полезной нагрузки второго этапа в атаках на клиентов 3CX. Gopuram — это модульный бэкдор, который выполняет следующие функции:
Новые заражения Gopuram позволили отнести атаку на 3CX к группе Lazarus. Исследователи «Лаборатории Касперского» считают, что Gopuram является основным имплантом и полезной нагрузкой последнего этапа в цепочке атак на 3CX. В марте 2023 года количество заражений Gopuram по всему миру увеличилось: злоумышленники доставили вредоносную библиотеку (wlbsctrl.dll) и зашифрованный шелл-код (.TxR.0.regtrans-ms) в системы криптовалютных компаний, затронутых атакой на цепочку поставок 3CX. Телеметрия показала, что заражениям подверглись устройства по всему миру, при этом самые высокие показатели заражения наблюдаются в Бразилии, Германии, Италии и Франции. Поскольку бэкдор Gopuram был развернут менее чем на 10 зараженных машинах, это указывает на целенаправленность атак, а также на то, что злоумышленники проявляют особый интерес к криптовалютным компаниям. |
Проверить безопасность сайта