Empresas de criptomoedas foram invadidas em ataque de supply chain
4 de Abril de 2023

Algumas das vítimas afetadas pelo ataque à supply chain da 3CX também tiveram seus sistemas invadidos com malware Gopuram, com os atores da ameaça visando especificamente empresas de criptomoedas com essa carga maliciosa adicional.

A empresa de comunicações VoIP 3CX foi comprometida por atores de ameaças norte-coreanos rastreados como Lazarus Group para infectar os clientes da empresa com versões trojanizadas de seus aplicativos de desktop Windows e macOS em um ataque em larga escala à supply chain.

Nesse ataque, os invasores substituíram duas DLLs usadas pelo aplicativo de desktop Windows por versões maliciosas que baixariam malware adicional para computadores, como um trojan de roubo de informações.

Desde então, a Kaspersky descobriu que o backdoor Gopuram anteriormente usado pelo grupo de hackers Lazarus contra empresas de criptomoedas desde pelo menos 2020, também foi implantado como uma carga útil de segunda etapa no mesmo incidente nos sistemas de um número limitado de clientes afetados da 3CX.

Gopuram é um backdoor modular que pode ser usado por seus operadores para manipular o registro e os serviços do Windows, realizar timestomping de arquivos para evitar detecção, injetar cargas úteis em processos já em execução, carregar drivers do Windows não assinados usando o Kernel Driver Utility de código aberto, bem como gerenciamento parcial de usuários via comando net em dispositivos infectados.

"A descoberta das novas infecções do Gopuram nos permitiu atribuir a campanha da 3CX ao ator de ameaças Lazarus com média a alta confiança. Acreditamos que Gopuram seja o principal implante e a carga final na cadeia de ataque", disseram os pesquisadores da Kaspersky.

O número de infecções do Gopuram em todo o mundo aumentou em março de 2023, com os invasores deixando uma biblioteca maliciosa (wlbsctrl.dll) e um payload de shellcode criptografado (.TxR.0.regtrans-ms) nos sistemas de empresas de criptomoedas impactadas pelo ataque à supply chain da 3CX.

Os pesquisadores da Kaspersky descobriram que os invasores usaram o Gopuram com precisão, implantando-o apenas em menos de dez máquinas infectadas, sugerindo que a motivação dos invasores pode ser financeira e com foco em tais empresas.

"Quanto às vítimas em nossa telemetria, as instalações do software 3CX infectado estão localizadas em todo o mundo, com as maiores figuras de infecção observadas no Brasil, Alemanha, Itália e França", acrescentaram os especialistas da Kaspersky.

A 3CX confirmou que seu cliente de desktop baseado em Electron, 3CXDesktopApp, foi comprometido para incluir malware um dia após a notícia do ataque surgir em 29 de março e mais de uma semana depois que vários clientes relataram alertas de que o software estava sendo marcado como malicioso por software de segurança.

A empresa agora aconselha os clientes a desinstalar o aplicativo de desktop Electron de todos os sistemas Windows e macOS (um script para desinstalar em massa o aplicativo em redes está disponível aqui) e mudar para o aplicativo de cliente da web progressiva (PWA) Web Client App.

Um grupo de pesquisadores de segurança desenvolveu e lançou uma ferramenta baseada na web para detectar se um endereço IP específico foi potencialmente impactado pelo ataque à supply chain da 3CX em março de 2023.

"A identificação de partes potencialmente impactadas é baseada em listas de endereços IP que estavam interagindo com a infraestrutura maliciosa", explica a equipe de desenvolvimento.

Como o BleepingComputer relatou dias após o incidente (agora rastreado como CVE-2023-29059 ) ser divulgado, os atores da ameaça por trás dele exploraram uma vulnerabilidade do Windows de 10 anos ( CVE-2013-3900 ) para fazer com que as DLLs maliciosas usadas para baixar payloads adicionais fossem assinadas legitimamente.

A mesma vulnerabilidade tem sido usada para infectar computadores Windows com malware bancário Zloader capaz de roubar credenciais de usuário e informações privadas.

A 3CX diz que seu sistema de telefone 3CX tem mais de 12 milhões de usuários diários e é usado por mais de 600.000 empresas em todo o mundo.

Sua lista de clientes inclui empresas e organizações de alto perfil como American Express, Coca-Cola, McDonald's, Air France, IKEA, o Serviço Nacional de Saúde do Reino Unido e vários fabricantes de automóveis, incluindo BMW, Honda, Toyota e Mercedes-Benz.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...