นักวิจัยเตือนว่าแฮกเกอร์ที่อยู่เบื้องหลังการโจมตีห่วงโซ่อุปทานขนาดใหญ่เมื่อเร็วๆ นี้ต่อผู้ให้บริการ VoIP 3CX กำลังมุ่งเป้าไปที่บริษัทสกุลเงินดิจิทัลโดยเฉพาะ เพื่อพยายามล้างกระเป๋าเงินของพวกเขา
ด้วยการแจกจ่ายโซลูชัน VoIP เวอร์ชันโทรจัน ผู้โจมตีสามารถแทรกซึมเข้าไปในบริษัทหลายสิบแห่งและวางมัลแวร์ระดับ 2 หลายตัวบนอุปกรณ์ของพวกเขา
ปัจจุบัน นักวิจัยด้านความปลอดภัยทางไซเบอร์ของ Kaspersky ได้ค้นพบว่าผู้โจมตีกำลังกำหนดเป้าหมายด้วยความแม่นยำสูง ไม่เกินสิบบริษัท ด้วยแบ็คดอร์ที่เป็นเอกลักษณ์ที่เรียกว่า Gopuram
ประตูท้ายแบบโมดูลาร์
BleepingComputer อธิบายว่า Gopuram เป็นแบ็คดอร์แบบโมดูลาร์ที่สามารถประทับเวลาเพื่อหลบเลี่ยงการตรวจจับ อัดเพย์โหลดเข้าไปในกระบวนการที่กำลังทำงานอยู่ โหลดไดรเวอร์ Windows ที่ไม่ได้ลงนามโดยใช้ยูทิลิตี้ไดรเวอร์เคอร์เนลโอเพ่นซอร์ส ฯลฯ
ในความเป็นจริง การใช้ Gopuram เองที่ทำให้ Kaspersky ระบุตัวผู้ก่อภัยคุกคามที่อยู่เบื้องหลังปฏิบัติการทั้งหมดในนามของกลุ่ม Lazarus จากเกาหลีเหนือ
“การค้นพบการติดเชื้อ Gopuram ใหม่ทำให้เราสามารถระบุแคมเปญ 3CX ว่าเป็นตัวแสดงภัยคุกคาม Lazarus ด้วยความมั่นใจปานกลางถึงสูง เราเชื่อว่า Gopuram เป็นสิ่งปลูกฝังหลักและน้ำหนักบรรทุกสุดท้ายในห่วงโซ่การโจมตี” นักวิจัยกล่าว Kaspersky
Lazarus กำหนดเป้าหมายเครื่องน้อยกว่าสิบเครื่องด้วยแบ็คดอร์นี้ ซึ่งทั้งหมดเป็นบริษัท crypto กล่าว แรงจูงใจน่าจะเป็นเรื่องการเงิน นักวิจัยแนะนำ
“เท่าที่เหยื่อของการวัดและส่งข้อมูลทางไกลของเรามีการติดตั้งซอฟต์แวร์ 3CX ที่ติดไวรัสอยู่ทั่วโลก โดยมีจำนวนการติดเชื้อสูงที่สุดที่พบในบราซิล เยอรมนี อิตาลี และฝรั่งเศส” รายงานระบุ “เนื่องจากมีการติดตั้งแบ็คดอร์ Gopuram ในเครื่องที่ติดไวรัสน้อยกว่าสิบเครื่อง นี่บ่งชี้ว่าผู้โจมตีใช้ Gopuram ด้วยความแม่นยำในการผ่าตัด นอกจากนี้เรายังสังเกตเห็นว่าผู้โจมตีมีความสนใจเป็นพิเศษในบริษัทสกุลเงินดิจิทัล”
3CX มีผู้ใช้งานมากกว่า 12 ล้านคนต่อวัน โดยมีบริษัทมากกว่า 600.000 แห่งทั่วโลกใช้ผลิตภัณฑ์ รายชื่อลูกค้าของบริษัทประกอบด้วยบริษัทและองค์กรชั้นนำ เช่น American Express, Coca-Cola, McDonald's, Air France, IKEA, บริการสุขภาพแห่งชาติของสหราชอาณาจักร และผู้ผลิตรถยนต์หลายราย เช่น BMW, Honda, Toyota และ Mercedes-Benz
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)