Ein Supply-Chain-Angriff hat eine Hintertür in Computern auf der ganzen Welt installiert, wurde aber nur auf weniger als zehn Computern eingesetzt, wie das Cybersicherheitsunternehmen Kaspersky hat gemeldet. Die Bereitstellungen zeigten ein besonderes Interesse an Kryptowährungsunternehmen, fügte sie hinzu.
Das Cybersicherheitsunternehmen Crowdstrike berichtete am 29. März, dass es böswillige Aktivitäten auf der 3CX-Softphone-App 3CXDesktopApp identifiziert hat. Die App wird an Firmenkunden vermarktet. Zu den erkannten böswilligen Aktivitäten gehörten „Beaconing auf von Akteuren kontrollierte Infrastruktur, Bereitstellung von Payloads der zweiten Stufe und in einer kleinen Anzahl von Fällen manuelle Tastaturaktivitäten“.
Kaspersky genannt es vermutete die Beteiligung des mit Nordkorea verbundenen Bedrohungsakteurs Labyrinth Chollima. 3CX sagte über die Infektion:
„Dies scheint ein gezielter Angriff einer Advanced Persistent Threat gewesen zu sein, vielleicht sogar staatlich gesponsert, die einen komplexen Angriff auf die Lieferkette durchführte und auswählte, wer die nächsten Stufen ihrer Malware herunterladen würde.“
Kaspersky untersuchte bereits eine Dynamic Link Library (DLL), die in einer der infizierten 3CXDesktopApp-.exe-Dateien gefunden wurde, hieß es. Die fragliche DLL wurde verwendet, um die Gopuram-Hintertür bereitzustellen, obwohl sie nicht die einzige bösartige Nutzlast war, die bei dem Angriff eingesetzt wurde. Es wurde festgestellt, dass Gopuram mit der AppleJeus-Hintertür koexistiert, die der nordkoreanischen Lazarus-Gruppe zugeschrieben wird, fügte Kaspersky hinzu.
Verbunden: Nordkoreanische Hacker geben vor, Krypto-VCs in einem neuen Phishing-Schema zu sein – Kaspersky
Infizierte 3CX-Software wurde weltweit entdeckt, mit den höchsten Infektionszahlen in Brasilien, Deutschland, Italien und Frankreich. Gopuram wurde jedoch in weniger als zehn Computern eingesetzt, um „chirurgische Präzision“ zu demonstrieren, sagte Kaspersky. Es hatte gefunden eine Gopuram-Infektion in einem südostasiatischen Kryptowährungsunternehmen in der Vergangenheit.
Wenn Sie einen umfassenden Überblick über die aktuelle suchen #3CX Lieferkettenangriff, ich habe ein Diagramm erstellt, das den Angriffsablauf zeigt! Ich werde aktualisieren, sobald die Analyse fortschreitet. Bleiben Sie dran für die MacOS-Edition! #Internet-Sicherheit #infosec #Lieferkettenangriff #3CXpocalypse pic.twitter.com/ANVLCgExmU
– Thomas Roccia (@fr0gger_) 31. März 2023
Die 3CX-App wird von über 600.000 Unternehmen verwendet, darunter mehrere große Marken, Kapersky genannt, unter Berufung auf den Hersteller. Die infizierte App war von DigiCert zertifiziert.
Magazin: 4 von 10 NFT-Verkäufen sind gefälscht: Lernen Sie, die Zeichen des Waschhandels zu erkennen