Новости Ким Чен Ын и его хакерский отряд: Gopuram становится основным оружием в атаке на криптовалютные компании

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
что известно о Gopuram и атаке на 3CX?


nu8s2d2em3jfcxc0ok33n5k933231lya.jpg


Криптовалютные компании, пострадавшие от атаки на цепочку поставок 3CX , заражаются бэкдором Gopuram, который доставляет дополнительное вредоносное ПО на целевые устройства.

В марте группировка Lazarus Group провела кибератаку на компанию 3CX, предоставляющую услуги VoIP-телефонии. В ходе кампании клиенты фирмы заражались троянскими версиями настольных приложений 3CX для Windows и macOS в ходе крупномасштабной атаки на цепочку поставок.

В этой атаке злоумышленники заменили две DLL -библиотеки, используемые настольным приложением Windows, на вредоносные версии, которые загружали на компьютеры трояны для кражи информации.

Недавно «Лаборатория Касперского» Для просмотра ссылки Войди или Зарегистрируйся , что бэкдор Gopuram, ранее использовавшийся хакерской группой Lazarus против криптовалютных компаний как минимум с 2020 года, также был развернут в качестве полезной нагрузки второго этапа в атаках на клиентов 3CX.

Gopuram — это модульный бэкдор, который выполняет следующие функции:

  • Манипулирование реестром и службами Windows;
  • Изменение даты двоичного файла (timestomping) для избегания обнаружения;
  • Внедрение полезной нагрузки в запущенные процессы;
  • Загрузка неподписанных драйверов Windows с помощью open source утилиты Для просмотра ссылки Войди или Зарегистрируйся ;
  • Частичное управление заражённым устройством через команду «net».

Новые заражения Gopuram позволили отнести атаку на 3CX к группе Lazarus. Исследователи «Лаборатории Касперского» считают, что Gopuram является основным имплантом и полезной нагрузкой последнего этапа в цепочке атак на 3CX. В марте 2023 года количество заражений Gopuram по всему миру увеличилось: злоумышленники доставили вредоносную библиотеку (wlbsctrl.dll) и зашифрованный шелл-код (.TxR.0.regtrans-ms) в системы криптовалютных компаний, затронутых атакой на цепочку поставок 3CX.

Телеметрия показала, что заражениям подверглись устройства по всему миру, при этом самые высокие показатели заражения наблюдаются в Бразилии, Германии, Италии и Франции. Поскольку бэкдор Gopuram был развернут менее чем на 10 зараженных машинах, это указывает на целенаправленность атак, а также на то, что злоумышленники проявляют особый интерес к криптовалютным компаниям.
 
Источник новости
www.securitylab.ru

Похожие темы