Ким Чен Ын и его хакерский отряд: Gopuram становится основным оружием в атаке на криптовалютные компании

3CX Lazarus Gopuram DLL Лаборатория Касперского
Ким Чен Ын и его хакерский отряд: Gopuram становится основным оружием в атаке на криптовалютные компании
3CX Lazarus Gopuram DLL Лаборатория Касперского

что известно о Gopuram и атаке на 3CX?

image

Криптовалютные компании, пострадавшие от атаки на цепочку поставок 3CX, заражаются бэкдором Gopuram, который доставляет дополнительное вредоносное ПО на целевые устройства.

В марте группировка Lazarus Group провела кибератаку на компанию 3CX, предоставляющую услуги VoIP-телефонии. В ходе кампании клиенты фирмы заражались троянскими версиями настольных приложений 3CX для Windows и macOS в ходе крупномасштабной атаки на цепочку поставок.

В этой атаке злоумышленники заменили две DLL-библиотеки, используемые настольным приложением Windows, на вредоносные версии, которые загружали на компьютеры трояны для кражи информации.

Недавно «Лаборатория Касперского» обнаружила, что бэкдор Gopuram, ранее использовавшийся хакерской группой Lazarus против криптовалютных компаний как минимум с 2020 года, также был развернут в качестве полезной нагрузки второго этапа в атаках на клиентов 3CX.

Gopuram — это модульный бэкдор, который выполняет следующие функции:

  • Манипулирование реестром и службами Windows;
  • Изменение даты двоичного файла (timestomping) для избегания обнаружения;
  • Внедрение полезной нагрузки в запущенные процессы;
  • Загрузка неподписанных драйверов Windows с помощью open source утилиты Kernel Driver Utility;
  • Частичное управление заражённым устройством через команду «net».

Новые заражения Gopuram позволили отнести атаку на 3CX к группе Lazarus. Исследователи «Лаборатории Касперского» считают, что Gopuram является основным имплантом и полезной нагрузкой последнего этапа в ​​цепочке атак на 3CX. В марте 2023 года количество заражений Gopuram по всему миру увеличилось: злоумышленники доставили вредоносную библиотеку (wlbsctrl.dll) и зашифрованный шелл-код (.TxR.0.regtrans-ms) в системы криптовалютных компаний, затронутых атакой на цепочку поставок 3CX.

Телеметрия показала, что заражениям подверглись устройства по всему миру, при этом самые высокие показатели заражения наблюдаются в Бразилии, Германии, Италии и Франции. Поскольку бэкдор Gopuram был развернут менее чем на 10 зараженных машинах, это указывает на целенаправленность атак, а также на то, что злоумышленники проявляют особый интерес к криптовалютным компаниям.