Neue Beweise deuten darauf hin, dass die Hacker, die die 3CX-App manipuliert haben, um Malware zu verbreiten, dies getan haben, um Kryptowährungsunternehmen zu infiltrieren, so der Antivirenanbieter Kaspersky.
Kaspersky hat heute eine veröffentlicht Bericht(Öffnet in einem neuen Fenster) Bei der Untersuchung einer Hintertür, die die Hacker selektiv auf Computer verteilten, auf denen die gekaperte 3CX-Desktop-App installiert war. Es fand eine gemeinsame Verbindung zwischen der Hintertür und den Malware-Opfern.
„Wir haben herausgefunden, dass der Angreifer speziell Kryptowährungsunternehmen ins Visier genommen hat“, sagt das Unternehmen unter Berufung auf seine eigene Telemetrie, die Benutzer des Antivirenschutzes von Kaspersky umfasst.
3CX bietet VoIP-Dienste für Tausende von Unternehmen, darunter große Marken wie McDonald’s, Coca-Cola und BMW. Der Hack hat also Befürchtungen geweckt, dass eine Vielzahl von Unternehmen betroffen sind, zumal Antivirus-Unternehmen letzte Woche eine Welle böswilliger Infektionen durch legitime 3CX-Desktop-Apps entdeckt haben.
Tatsächlich wurde festgestellt, dass der verdorbene 3CX ein Infostealer-Programm verbreitet, das in der Lage ist, Daten aus dem Browser eines Computers zu sammeln. Der Bericht von Kaspersky besagt jedoch, dass der Hacker auch eine zusätzliche Nutzlast für ausgewählte Maschinen in Form einer Hintertür namens „Gopuram“ gestartet hat.
Aber nach eigenen Angaben des Unternehmens wurde Gopuram „auf weniger als zehn infizierten Rechnern“ eingesetzt. Sobald es installiert ist, ermöglicht die Hintertür einem Hacker, heimlich einen Computer zu entführen. Zu den Funktionen gehört die Möglichkeit, Dateisysteme anzuzeigen und bösartige Prozesse auf einem infizierten Computer zu erstellen.
Von unseren Redakteuren empfohlen
Die Anwesenheit von Gopuram fügt auch weitere Beweise dafür hinzu, dass der Hack von 3CX mit einer berüchtigten, vom nordkoreanischen Staat geförderten Hacking-Gruppe namens Lazarus verbunden ist, die Appetit darauf hat, Kryptowährung zu stehlen. Im Jahr 2020 entdeckte Kaspersky auch eine Gopuram-Hintertür auf einer Maschine eines Kryptowährungsunternehmens, die mit einer anderen Hintertür namens „ AppleJeus(Öffnet in einem neuen Fenster)die die USA Nordkorea zugeschrieben haben.
Separate Cybersicherheitsfirmen Massenschlag(Öffnet in einem neuen Fenster) Und Sophos(Öffnet in einem neuen Fenster) haben auch Beweise gefunden, die den Angriff auf die Lieferkette von 3CX mit Lazarus in Verbindung bringen. Es ist jedoch noch unklar, wie es den Hackern gelang, das VoIP-Unternehmen zu infiltrieren, um die Malware auszuliefern. Inzwischen hat 3CX das Cybersicherheitsteam Mandiant mit der Untersuchung des Vorfalls beauftragt und ist drängen(Öffnet in einem neuen Fenster) Clients, die Desktop-App des Unternehmens zu deinstallieren.
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen Und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.