網絡安全公司Kaspersky報告稱,一起供應鏈攻擊在全球範圍內的計算機上安裝了後門,但這些後門僅部署到了不到10颱計算機上。報告指出,這一攻擊特別針對加密貨幣公司。
網絡安全公司Crowdstrike在3月29日報告稱,檢測到3CX軟電話應用程序3CXDesktopApp的噁意活動。該應用程序銷售給企業客戶。檢測到的噁意活動包括“向攻擊者控製的基礎設施髮送信號、部署二階段有效載荷,以及在個別情況下的敲擊鍵盤活動”。
Kaspersky表示,他們懷疑與朝鮮有關的威脅行爲者Labyrinth Chollima參與了此次攻擊。3CX表示,這次感染“似乎是一次有針對性的攻擊,可能甚至是由國家支持的,執行複雜的供應鏈攻擊,並選擇將誰下載下一階段的噁意軟件。”
Kaspersky稱,他們已開始調查在被感染的3CXDesktopApp.exe文件中髮現的動態鏈接庫(DLL)。該DLL已被用於傳遞Gopuram後門,儘管它不是此次攻擊中唯一的噁意有效載荷。Kaspersky補充説,Gopuram與歸屬於朝鮮Lazarus集團的AppleJeus後門共同存在。
感染的3CX軟件已在全球範圍內被檢測到,其中巴西、德國、意大利和法國的感染數量最多。Kaspersky表示,Gopuram已被部署到不到10颱計算機上,展現了“精準的手術式攻擊”。他們過去曾在一家東南亞的加密貨幣公司髮現過Gopuram感染。Kaspersky引用該製造商的説法,表示3CX應用程序被超過60萬個公司使用,包括多個知名品牌。被感染的應用程序擁有DigiCert認証。
