Gopuram恶意软件袭击3CX：网络罪犯针对加密货币企业

卡巴斯基最近调查了一起使用流行的VoIP程序3CXDesktopAPP进行的供应链攻击事件。这起攻击由一种名为Gopuram的恶意软件引发，自2020年以来一直在我们内部进行跟踪，但是在2023年3月开始感染数量急剧增加。卡巴斯基的最新报告概述了Gopuram后门程序，并观察了其对全球企业的最新攻击活动，尤其是对全球加密货币公司的影响。

3月29日，有人报告了一起3CX供应链攻击事件。卡巴斯基的研究人员分析了有关这次活动的现有报告，并查看了他们自己的遥测数据。他们发现在一台机器上，一个可疑的动态链接库（DLL）被加载到受感染的3cxDesktopApp.exe进程中。

卡巴斯基的专家在3月21日开始调查与该DLL相关的案件，大约在发现供应链攻击的一周前。这个DLL用于部署一个称为"Gopuram"的后门程序，我们自2020年以来一直在内部跟踪该程序。三年前，卡巴斯基调查了一家东南亚的加密货币公司的感染情况，发现Gopuram与一个说韩语的威胁行为者Lazarus使用的后门程序Applejeus在受害者的机器上共存。

根据卡巴斯基的遥测数据，受感染的3CX软件安装在全球各地的计算机上，其中巴西、德国、意大利和法国的感染数量最高。然而，Gopuram只被部署在不到10台计算机上，这表明攻击者对后门的使用非常精确。卡巴斯基还注意到，攻击者对加密货币公司特别感兴趣。

卡巴斯基全球研究与分析团队的安全专家Georgy Kucherin评论说：“信息窃取器并不是3CX供应链攻击中部署的唯一恶意有效载荷。Gopuram后门背后的威胁行为者还使用了成熟的模块化Gopuram后门来感染目标机器。我们认为Gopuram是主要的植入物，也是攻击链中的最终有效载荷。我们正在进行对3CX攻击活动的调查，并将继续分析部署的植入物，以获取有关供应链攻击使用的工具集的更多细节。”

如果想了解有关Gopuram后门程序和供应链攻击的更多详情，请访问Securelist。

为了防范类似Gopuram的威胁，请遵循以下建议： - 为员工提供基本的网络安全卫生知识培训，因为很多有针对性的攻击都是从网络钓鱼或其他社交工程手段开始的。 - 对网络进行安全审计，针对发现的任何弱点进行修复。 - 安装反APT和EDR解决方案，开启威胁发现和检测、事件调查和及时补救功能。为SOC团队提供最新的威胁情报，并通过定期专业培训提升他们的技能。卡巴斯基的安全框架提供了上述所有功能。 - 除了适当的端点保护之外，专门的服务还有助于抵御高调攻击。卡巴斯基的管理检测和响应服务可以帮助在攻击者实现其目标之前的早期阶段识别和阻止攻击。

关于卡巴斯基： 卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。我们将深入的威胁情报和安全技术转化为最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。我们提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面应对复杂和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护他们最重要的东西。

来源：新浪 作者：每日科技报道