Crowdstrike و Kaspersky ویروسی را پیدا کردند که یک درب پشتی را در یک برنامه ارتباطی فراهم می کند، اما فقط چند بار آن را مستقر کردند.
شرکت امنیت سایبری کسپرسکی گزارش داد که یک حمله زنجیره تامین، درهای پشتی را روی رایانههای سراسر جهان قرار داده است، اما تنها کمتر از ده مورد. او اضافه کرد که توزیعها برای شرکتهای رمزنگاری مورد توجه خاص هستند.
شرکت امنیت سایبری Crowdstrike در 29 مارس گزارش داد که فعالیت مخربی را در برنامه تلفن نرم افزاری 3CX خود، 3CXDesktopApp، شناسایی کرده است. این اپلیکیشن برای مشتریان شرکتی عرضه شده است. فعالیت مخرب شناساییشده شامل «ارسال به زیرساختهای کنترلشده توسط بازیگر، استقرار بارهای مرحله دوم و در چند مورد، فعالیت صفحه کلید عملی» بود.
کسپرسکی گفت که مظنون است که بازیگر تهدید کننده مرتبط با کره شمالی، Labyrinth Chollima در آن نقش داشته است. 3CX در مورد عفونت گفت:
“به نظر می رسد این یک حمله هدفمند است، شاید توسط یک تهدید دائمی پیشرفته با حمایت دولتی، که یک حمله زنجیره تامین پیچیده را انجام می دهد و انتخاب می کند چه کسی مراحل بعدی بدافزار خود را دانلود کند.”
Kaspersky قبلاً در حال بررسی یک کتابخانه پیوند پویا (DLL) موجود در فایل .exe 3CXDesktopApp آلوده بود. در حالی که DLL مورد بحث تنها محموله مخربی نبود که در حمله مستقر شده بود، از آن برای ارائه درب پشتی Gopuram استفاده شد. کسپرسکی اضافه کرد که گوپورام با درپشتی AppleJeus منسوب به گروه کره شمالی لازاروس همزیستی می کند.
مطالب مرتبط: هکرهای کره شمالی که در طرح جدید فیشینگ – کسپرسکی وانمود میکنند که سرمایهگذاران مخاطرهآمیز هستند
نرم افزار 3CX آلوده در سراسر جهان شناسایی شده است، با بالاترین نرخ آلودگی در برزیل، آلمان، ایتالیا و فرانسه. کسپرسکی گفت که Gopuram بر روی کمتر از ده رایانه مستقر شده است که “دقت جراحی” را نشان می دهد. او در گذشته یک عفونت Gopuram را در یک شرکت ارز دیجیتال جنوب شرقی آسیا پیدا کرده بود.
اگر به دنبال یک نمای کلی از وضعیت فعلی هستید، #3CX حمله زنجیره تامین، من یک نمودار ایجاد کردم که جریان حمله را نشان می دهد! با پیشرفت تجزیه و تحلیل به روز می کنم. منتظر نسخه macOS باشید! #امنیت سایبری #امنیت اطلاعات #حمله زنجیره تامین #3CXapocalypse pic.twitter.com/ANVLCgExmU
– توماس روچیا (@fr0gger_) 31 مارس 2023
به نقل از سازنده، Kapersky گفت که اپلیکیشن 3CX توسط بیش از 600000 شرکت از جمله چندین برند بزرگ استفاده می شود. برنامه آسیب دیده دارای گواهی DigiCert بود.
مجله: 4 مورد از 10 فروش NFT جعلی است: یاد بگیرید علائم تجارت شستشو را تشخیص دهید
نویسنده: Derek Andersen