Ким Чен Ын и его хакерский отряд: Gopuram становится основным оружием в атаке на криптовалютные компании

3CX Lazarus Gopuram DLL Лаборатория Касперского
Ким Чен Ын и его хакерский отряд: Gopuram становится основным оружием в атаке на криптовалютные компании
3CX Lazarus Gopuram DLL Лаборатория Касперского

что известно о Gopuram и атаке на 3CX?

image

Криптовалютные компании, пострадавшие от атаки на цепочку поставок 3CX, заражаются бэкдором Gopuram, который доставляет дополнительное вредоносное ПО на целевые устройства.

В марте группировка Lazarus Group провела кибератаку на компанию 3CX, предоставляющую услуги VoIP-телефонии. В ходе кампании клиенты фирмы заражались троянскими версиями настольных приложений 3CX для Windows и macOS в ходе крупномасштабной атаки на цепочку поставок.

В этой атаке злоумышленники заменили две DLL-библиотеки, используемые настольным приложением Windows, на вредоносные версии, которые загружали на компьютеры трояны для кражи информации.

Недавно «Лаборатория Касперского» обнаружила , что бэкдор Gopuram, ранее использовавшийся хакерской группой Lazarus против криптовалютных компаний как минимум с 2020 года, также был развернут в качестве полезной нагрузки второго этапа в атаках на клиентов 3CX.

Gopuram — это модульный бэкдор, который выполняет следующие функции:

  • Манипулирование реестром и службами Windows;
  • Изменение даты двоичного файла (timestomping) для избегания обнаружения;
  • Внедрение полезной нагрузки в запущенные процессы;
  • Загрузка неподписанных драйверов Windows с помощью open source утилиты Kernel Driver Utility ;
  • Частичное управление заражённым устройством через команду «net».

Новые заражения Gopuram позволили отнести атаку на 3CX к группе Lazarus. Исследователи «Лаборатории Касперского» считают, что Gopuram является основным имплантом и полезной нагрузкой последнего этапа в ​​цепочке атак на 3CX. В марте 2023 года количество заражений Gopuram по всему миру увеличилось: злоумышленники доставили вредоносную библиотеку (wlbsctrl.dll) и зашифрованный шелл-код (.TxR.0.regtrans-ms) в системы криптовалютных компаний, затронутых атакой на цепочку поставок 3CX.

Телеметрия показала, что заражениям подверглись устройства по всему миру, при этом самые высокие показатели заражения наблюдаются в Бразилии, Германии, Италии и Франции. Поскольку бэкдор Gopuram был развернут менее чем на 10 зараженных машинах, это указывает на целенаправленность атак, а также на то, что злоумышленники проявляют особый интерес к криптовалютным компаниям.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь