卡巴斯基的最新报告概述了Gopuram后门程序,并观察了其对全球企业的最新攻击活动,尤其是对全球加密货币公司的影响。
3月29日,有人报告了一起3CX供应链攻击事件。卡巴斯基的研究人员分析了有关这次活动的报告,并查看了他们自己的遥测数据。他们发现在一台机器上,一个可疑的动态链接库(DLL)被加载到受感染的3cxDesktopApp.exe进程中。
卡巴斯基的专家在3月21日开始调查与该DLL相关的案件,大约在发现供应链攻击的一周前。这个DLL用于部署一个称为"Gopuram"的后门程序,我们自2020年以来一直在内部跟踪该程序。三年前,卡巴斯基调查了一家东南亚的加密货币公司的感染情况,发现Gopuram与一个说韩语的威胁行为者Lazarus使用的后门程序Applejeus在受害者的机器上共存。
根据卡巴斯基的遥测数据,受感染的3CX软件安装在全球各地的计算机上,其中巴西、德国、意大利和法国的感染数量最高。然而,Gopuram只被部署在不到10台计算机上,这表明攻击者对后门的使用非常精确。卡巴斯基还注意到,攻击者对加密货币公司特别感兴趣。
卡巴斯基全球研究与分析团队的安全专家Georgy Kucherin评论说:“信息窃取器并不是3CX供应链攻击中部署的唯一恶意有效载荷。Gopuram后门背后的威胁行为者还使用了成熟的模块化Gopuram后门来感染目标机器。我们认为Gopuram是主要的植入物,也是攻击链中的最终有效载荷。我们正在进行对3CX攻击活动的调查,并将继续分析部署的植入物,以获取有关供应链攻击使用的工具集的更多细节。”
如果想了解有关Gopuram后门程序和供应链攻击的更多详情,请访问Securelist。
为了防范类似Gopuram的威胁,请遵循以下建议: - 为员工提供基本的网络安全卫生知识培训 - 对网络进行安全审计 - 安装反APT和EDR解决方案 - 专门的服务还有助于抵御高调攻击
关于卡巴斯基: 卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。我们提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务。
