网络安全公司Kaspersky报告称,一起供应链攻击在全球范围内的计算机上安装了后门,但这些后门仅部署到了不到10台计算机上。报告指出,这一攻击特别针对加密货币公司。
网络安全公司Crowdstrike在3月29日报告称,检测到3CX软电话应用程序3CXDesktopApp的恶意活动。该应用程序销售给企业客户。检测到的恶意活动包括“向攻击者控制的基础设施发送信号、部署二阶段有效载荷,以及在个别情况下的敲击键盘活动”。
Kaspersky表示,他们怀疑与朝鲜有关的威胁行为者Labyrinth Chollima参与了此次攻击。3CX表示,这次感染“似乎是一次有针对性的攻击,可能甚至是由国家支持的,执行复杂的供应链攻击,并选择将谁下载下一阶段的恶意软件。”
Kaspersky称,他们已开始调查在被感染的3CXDesktopApp.exe文件中发现的动态链接库(DLL)。该DLL已被用于传递Gopuram后门,尽管它不是此次攻击中唯一的恶意有效载荷。Kaspersky补充说,Gopuram与归属于朝鲜Lazarus集团的AppleJeus后门共同存在。
感染的3CX软件已在全球范围内被检测到,其中巴西、德国、意大利和法国的感染数量最多。Kaspersky表示,Gopuram已被部署到不到10台计算机上,展现了“精准的手术式攻击”。他们过去曾在一家东南亚的加密货币公司发现过Gopuram感染。Kaspersky引用该制造商的说法,表示3CX应用程序被超过60万个公司使用,包括多个知名品牌。被感染的应用程序拥有DigiCert认证。
