Beberapa korban yang terkena dampak serangan rantai pasokan 3CX juga memiliki sistem yang di-backdoor dengan malware Gopuram, dengan pelaku ancaman secara khusus menargetkan perusahaan cryptocurrency dengan muatan jahat tambahan ini.
perusahaan komunikasi VoIP 3CX disusupi oleh aktor ancaman Korea Utara dilacak sebagai Grup Lazarus untuk menginfeksi pelanggan perusahaan dengan versi trojan dari aplikasi desktop Windows dan macOS dalam serangan rantai pasokan berskala besar.
Dalam serangan ini, penyerang mengganti dua DLL yang digunakan oleh aplikasi desktop Windows dengan versi jahat yang akan mengunduh malware tambahan ke komputer, seperti trojan pencuri informasi.
Sejak saat itu, Kaspersky telah menemukan bahwa pintu belakang Gopuram yang sebelumnya digunakan oleh grup peretasan Lazarus terhadap perusahaan mata uang kripto setidaknya sejak tahun 2020, juga digunakan sebagai muatan tahap kedua dalam insiden yang sama ke dalam sistem sejumlah terbatas pelanggan 3CX yang terpengaruh.
Gopuram adalah pintu belakang modular yang dapat digunakan oleh operatornya untuk memanipulasi registri dan layanan Windows, melakukan file timetomping untuk menghindari deteksi, menyuntikkan muatan ke dalam proses yang sudah berjalan, memuat driver Windows yang tidak ditandatangani menggunakan sumber terbuka Utilitas Driver Kernelserta manajemen pengguna parsial melalui perintah net pada perangkat yang terinfeksi.
“Penemuan infeksi Gopuram baru memungkinkan kami mengaitkan kampanye 3CX dengan aktor ancaman Lazarus dengan tingkat kepercayaan sedang hingga tinggi. Kami percaya bahwa Gopuram adalah implan utama dan muatan terakhir dalam rantai serangan,” kata peneliti Kaspersky.
Jumlah infeksi Gopuram di seluruh dunia meningkat pada Maret 2023, dengan penyerang menjatuhkan pustaka berbahaya (wlbsctrl.dll) dan muatan kode shell terenkripsi (.TxR.0.regtrans-ms) pada sistem perusahaan mata uang kripto yang terkena dampak rantai pasokan 3CX menyerang.
Peneliti Kaspersky menemukan bahwa penyerang menggunakan Gopuram dengan presisi, menyebarkannya hanya pada kurang dari sepuluh mesin yang terinfeksi, menunjukkan bahwa motivasi penyerang mungkin bersifat finansial dan dengan fokus pada perusahaan semacam itu.
“Untuk para korban dalam telemetri kami, penginstalan perangkat lunak 3CX yang terinfeksi berlokasi di seluruh dunia, dengan angka infeksi tertinggi diamati di Brasil, Jerman, Italia, dan Prancis,” tambah pakar Kaspersky.
“Karena pintu belakang Gopuram telah dikerahkan ke kurang dari sepuluh mesin yang terinfeksi, ini menunjukkan bahwa penyerang menggunakan Gopuram dengan sangat presisi. Kami juga mengamati bahwa penyerang memiliki minat khusus pada perusahaan mata uang kripto.”
Pelanggan diminta untuk beralih ke klien web PWA
3CX telah mengonfirmasi bahwa klien desktop berbasis 3CXDesktopApp Electron telah disusupi untuk memasukkan malware sehari setelahnya berita penyerangan pertama kali muncul pada 29 Maret dan lebih dari seminggu setelah beberapa pelanggan melaporkan peringatan bahwa perangkat lunak tersebut ditandai sebagai berbahaya oleh perangkat lunak keamanan.
Perusahaan sekarang menyarankan pelanggan untuk menghapus instalan aplikasi desktop Electron dari semua sistem Windows dan macOS (skrip untuk menghapus instalan massal aplikasi di seluruh jaringan tersedia Di Sini) dan untuk beralih ke Aplikasi Klien Web aplikasi web progresif (PWA).
Seperti yang dilaporkan BleepingComputer beberapa hari setelah kejadian (sekarang dilacak sebagai CVE-2023-29059) terungkap, aktor ancaman di baliknya mengeksploitasi kerentanan Windows berusia 10 tahun (CVE-2013-3900) agar terlihat bahwa DLL berbahaya yang digunakan untuk menjatuhkan muatan tambahan telah ditandatangani secara sah.
Kerentanan yang sama telah digunakan untuk menginfeksi komputer Windows dengan malware perbankan Zloader mampu mencuri kredensial pengguna dan informasi pribadi
3CX mengatakan Sistem Telepon 3CX-nya memiliki lebih dari 12 juta pengguna setiap hari dan digunakan oleh lebih dari 600.000 perusahaan di seluruh dunia.
Dia Daftar pelanggan termasuk perusahaan dan organisasi terkenal seperti American Express, Coca-Cola, McDonald’s, Air France, IKEA, Layanan Kesehatan Nasional Inggris, dan beberapa pembuat mobil, termasuk BMW, Honda, Toyota, dan Mercedes-Benz.
