По сообщила компании по кибербезопасности, атака с цепочкой поставок установила задним ходом на компьютерах по всему миру, но была развернута только в не менее десяти компьютерах, сообщила компания по кибербезопасности. Развертывания проявили особый интерес к компаниям циптовалют, добавил он.
Компания по кибербезопасности Crowdstrike сообщила 29 марта, что выявила вредоносную деятельность в приложении 3CX Softphone 3CXDESKTOPAPP. Приложение продается корпоративным клиентам. Обнаруженная злонамеренная деятельность включала в себя «маяки для контролируемой актером инфраструктурой, развертывание полезных нагрузок на второй стадии и, в небольшом количестве случаев, практической активности».
Касперский сказал, что подозревал участие северокорейского актера, связанного с угрозой, лабиринт-чоллима. 3CX сказал об инфекции:
«Похоже, что это была целевая атака от продвинутой постоянной угрозы, возможно, даже спонсируемой государством, которая проходила сложную атаку цепочки поставок и выбрал, кто будет загружать следующие этапы их вредоносного ПО».
Касперский уже расследовал библиотеку динамических ссылок (DLL), найденную в одном из зараженных файлов 3CXDESKTopApp .exe, говорится в сообщении. Рассматриваемый DLL был использован для доставки Backdoor Gopuram, хотя это была не единственная злонамеренная полезная нагрузка, развернутая в атаке. Было обнаружено, что Gopuram сосуществует с Applejeus Backdoor, приписываемой северокорейской группе Lazarus, добавил Kaspersky.
Инфицированное программное обеспечение 3CX было обнаружено по всему миру, с наибольшим количеством инфекционных показателей в Бразилии, Германии, Италии и Франции. По словам Касперского, Gopuram был развернут менее чем за десять компьютеров на демонстрации «хирургической точности». В прошлом он обнаружил инфекцию Gopuram в криптовалютной компании Юго -Восточной Азии.
Если вы ищете всесторонний обзор текущей атаки цепочки поставок #3CX, я создал диаграмму, которая показывает поток атаки! Я обновлюсь, как только анализ будет пройден. Следите за новостями MacOS! #cybersecurity #infosec #supplychainattack #3cxpocalypse pic.Twitter.com/anvlcgexmu
- Томас Рочча (@FR0GGER_) 31 марта 2023 г.
По словам Каперского, приложение 3CX используется более 600 000 компаний, в том числе несколько крупных брендов, ссылаясь на производителя. Зараженное приложение имело сертификацию Digicert.
Журнал: 4 из 10 продаж NFT - фальшивые: научитесь выявлять признаки торговли Wash
Источник