Les pirates à l'origine des récentes attaques à grande échelle de la chaîne d'approvisionnement contre le fournisseur de VoIP 3CX ciblent désormais spécifiquement les sociétés de crypto-monnaie dans le but de vider leurs portefeuilles, ont averti les chercheurs.
En distribuant une version cheval de Troie de la solution VoIP, les attaquants ont réussi à infiltrer des dizaines d'entreprises et à déposer divers logiciels malveillants de niveau 2 sur leurs appareils.
Désormais, les chercheurs en cybersécurité de Kaspersky ont découvert que les attaquants ne ciblaient également, avec une grande précision, pas plus d'une douzaine d'entreprises, avec une porte dérobée unique appelée Gopuram.
hayon modulaire
BleepingComputer décrit Gopuram comme une porte dérobée modulaire capable d'horodater pour échapper à la détection, d'injecter une charge utile dans des processus déjà en cours d'exécution, de charger des pilotes Windows non signés à l'aide de l'utilitaire de pilote de noyau open source, etc.
En fait, c'est l'utilisation de Gopuram qui a conduit Kaspersky à identifier l'acteur menaçant derrière toute l'opération comme étant le groupe nord-coréen Lazarus.
"La découverte des nouvelles infections à Gopuram nous a permis d'attribuer la campagne 3CX à l'acteur menaçant Lazarus avec un niveau de confiance moyen à élevé. Nous pensons que Gopuram est l'implant principal et la charge utile finale de la chaîne d'attaque", ont déclaré les chercheurs de Kaspersky.
Lazarus a ciblé moins de dix machines avec cette porte dérobée, qui sont toutes des sociétés de cryptographie, a-t-on dit. La motivation est très probablement financière, suggèrent les chercheurs.
"En ce qui concerne les victimes de notre télémétrie, les installations de logiciels 3CX infectés sont réparties dans le monde entier, les taux d'infection les plus élevés étant observés au Brésil, en Allemagne, en Italie et en France", indique le rapport. "La porte dérobée Gopuram ayant été déployée sur moins de dix machines infectées, cela indique que les attaquants ont utilisé Gopuram avec une précision chirurgicale. Nous avons également observé que les attaquants ont un intérêt particulier pour les sociétés de cryptomonnaie."
3CX compte plus de 12 millions d’utilisateurs quotidiens et ses produits sont utilisés par plus de 600.000 XNUMX entreprises dans le monde. Sa liste de clients comprend des entreprises et organisations de premier plan telles qu'American Express, Coca-Cola, McDonald's, Air France, IKEA, le National Health Service du Royaume-Uni et plusieurs constructeurs automobiles dont BMW, Honda, Toyota et Mercedes-Benz.
Via : BleepingComputer (Ouvre dans un nouvel onglet)