3CX tedarik zinciri saldırısından etkilenen bazı kurbanların sistemleri, Gopuram kötü amaçlı yazılımıyla arka kapıya sahip oldu ve tehdit aktörleri, bu ek kötü amaçlı yük ile özellikle kripto para birimi şirketlerini hedef aldı.
VoIP iletişim şirketi 3CX, Lazarus Group olarak izlenen Kuzey Koreli tehdit aktörleri tarafından büyük ölçekli bir tedarik zinciri saldırısında şirketin müşterilerine Windows ve macOS masaüstü uygulamalarının trojenleştirilmiş sürümlerini bulaştırmak için ele geçirildi.
Bu saldırıda saldırganlar, Windows masaüstü uygulaması tarafından kullanılan iki DLL dosyasını, bilgi çalan bir truva atı gibi bilgisayarlara ek kötü amaçlı yazılım indirecek kötü amaçlı sürümlerle değiştirdi.
O zamandan beri Kaspersky, daha önce Lazarus bilgisayar korsanlığı grubu tarafından en az 2020’den beri kripto para şirketlerine karşı kullanılan Gopuram arka kapısının, aynı olayda sınırlı sayıda etkilenen 3CX müşterisinin sistemlerine ikinci aşama bir yük olarak konuşlandırıldığını keşfetti.
Gopuram, operatörleri tarafından Windows kayıt defterini ve hizmetlerini manipüle etmek, algılamadan kaçınmak için dosya zaman damgası gerçekleştirmek, halihazırda çalışan süreçlere yükleri enjekte etmek, açık kaynaklı Kernel Driver Utility’yi kullanarak imzasız Windows sürücülerini yüklemek için kullanılabilen modüler bir arka kapıdır. virüslü cihazlarda net komutu aracılığıyla kısmi kullanıcı yönetimi.
Kaspersky araştırmacıları, “Yeni Gopuram virüslerinin keşfi, 3CX kampanyasını orta ile yüksek arası bir güvenle Lazarus tehdit aktörüne atfetmemizi sağladı. Gopuram’ın saldırı zincirindeki ana implant ve son yük olduğuna inanıyoruz.”
Saldırganların 3CX tedarik zincirinden etkilenen kripto para şirketlerinin sistemlerine kötü amaçlı bir kitaplık (wlbsctrl.dll) ve şifrelenmiş bir kabuk kodu yükü (.TxR.0.regtrans-ms) bırakmasıyla Mart 2023’te dünya çapında Gopuram bulaşmalarının sayısı arttı saldırı.
Kaspersky araştırmacıları, saldırganların Gopuram’ı hassas bir şekilde kullandığını ve onu yalnızca ondan az virüslü makineye dağıttığını tespit etti.
Kaspersky uzmanları, “Telemetrimizdeki kurbanlara gelince, virüslü 3CX yazılımının kurulumları dünyanın her yerinde bulunuyor ve en yüksek enfeksiyon rakamları Brezilya, Almanya, İtalya ve Fransa’da gözlemleniyor.”
“Gopuram arka kapısı, ondan daha az virüslü makineye dağıtıldığından, saldırganların Gopuram’ı cerrahi bir hassasiyetle kullandığını gösteriyor. Ek olarak, saldırganların kripto para şirketlerine özel bir ilgileri olduğunu gözlemledik.”
Müşterilerden PWA web istemcisine geçmeleri istendi
3CX, 3CXDesktopApp Electron tabanlı masaüstü istemcisinin, saldırı haberlerinin ilk olarak 29 Mart’ta ortaya çıkmasından bir gün sonra ve birden fazla müşterinin, yazılımın güvenlik yazılımı tarafından kötü amaçlı olarak etiketlendiğine dair uyarılar bildirmesinden bir hafta sonra, kötü amaçlı yazılım içerecek şekilde ele geçirildiğini doğruladı.
Şirket şimdi müşterilere Electron masaüstü uygulamasını tüm Windows ve macOS sistemlerinden kaldırmalarını (uygulamayı ağlar arasında toplu olarak kaldırmak için bir komut dosyası burada mevcuttur) ve aşamalı web uygulaması (PWA) Web İstemci Uygulamasına geçmelerini tavsiye ediyor.
BleepingComputer’ın olaydan günler sonra bildirdiği gibi (artık CVE-2023-29059 olarak izleniyor)) ifşa edildiğinde, arkasındaki tehdit aktörleri, ek yükleri bırakmak için kullanılan kötü amaçlı DLL’lerin yasal olarak imzalanmış gibi görünmesini sağlamak için 10 yıllık bir Windows güvenlik açığından (CVE-2013-3900) yararlandı.
Aynı güvenlik açığı, Windows bilgisayarlarına kullanıcı kimlik bilgilerini ve özel bilgileri çalabilen Zloader bankacılık kötü amaçlı yazılımını bulaştırmak için kullanıldı.
3CX, 3CX Telefon Sisteminin günde 12 milyondan fazla kullanıcısı olduğunu ve dünya çapında 600.000’den fazla şirket tarafından kullanıldığını söylüyor.
Müşteri listesi, American Express, Coca-Cola, McDonald’s, Air France, IKEA, Birleşik Krallık Ulusal Sağlık Servisi gibi yüksek profilli şirketleri ve kuruluşları ve BMW, Honda, Toyota ve Mercedes-Benz dahil olmak üzere çok sayıda otomobil üreticisini içerir.