29 марта компания Crowdstrike опубликовала отчет о масштабной атаке на цепочку поставок, проведенной через популярное VoIP-приложение 3CXDesktopApp. С тех пор эксперты по кибербезопасности активно исследуют инцидент, раскрывая новые детали. Анализ показал, что атака не ограничилась кражей данных - злоумышленники внедрили сложный бэкдор Gopuram, который, по мнению специалистов Kaspersky Lab, связан с северокорейской хакерской группировкой Lazarus.
Описание
Заражение началось с поддельных установщиков 3CXDesktopApp для Windows и macOS. Вредоносный MSI-пакет содержал инфицированную библиотеку DLL, которая расшифровывала и исполняла шеллкод, скрытый в файле d3dcompiler_47.dll. Далее вредоносное ПО извлекало адреса командных серверов (C2) из изображений в GitHub-репозитории (позже удаленном), подключалось к серверу и загружало инфокража, собирающего системные данные и историю браузеров. Однако, как выяснилось, это была лишь первая фаза атаки.
Kaspersky Lab обнаружили, что на некоторых машинах после заражения появлялась библиотека guard64.dll, загружаемая в процесс 3CXDesktopApp.exe. Эта DLL оказалась частью бэкдора Gopuram, который лаборатория отслеживает с 2020 года. Изначально Gopuram был замечен в атаках на криптовалютные компании в Юго-Восточной Азии, где он сосуществовал с другим известным бэкдором - AppleJeus, который приписывается Lazarus.
В марте 2023 года количество заражений Gopuram резко возросло, что совпало с атакой на 3CX. Злоумышленники использовали сложные техники для внедрения бэкдора: файл wlbsctrl.dll, размещенный в системной директории, автоматически загружался службой IKEEXT, после чего в процессы spoolsv.exe и WmiPrvSE.exe внедрялись дополнительные вредоносные библиотеки. Ключевая особенность Gopuram - использование CryptUnprotectData для расшифровки шеллкода, что усложняет анализ без доступа к зараженной системе.
Бэкдор обладает широким функционалом: взаимодействие с файловой системой, создание процессов и выполнение модулей в памяти. При этом модули Gopuram загружаются как DLL с экспортируемой функцией DllGetClassObject, что делает его крайне опасным инструментом для целевых атак.
Kaspersky Lab приводят несколько аргументов в пользу связи Gopuram с Lazarus. Во-первых, бэкдор ранее использовался в атаках на криптовалютный сектор, что соответствует интересам группировки. Во-вторых, обнаруженные образцы взаимодействовали с сервером wirexpro[.]com, который ранее связывали с кампанией AppleJeus. В-третьих, вредоносный MSI-файл, связанный с атакой, обращался к домену oilycargo[.]com, также ассоциируемому с Lazarus.
География заражений 3CX охватывает множество стран, включая Бразилию, Германию, Италию и Францию. Однако Gopuram был развернут менее чем на десяти машинах, что указывает на избирательность злоумышленников. Похоже, их главной целью остаются криптовалютные компании.
Итог расследования неутешителен: атака на 3CX оказалась сложной многоэтапной операцией, где инфокражи были лишь прикрытием для внедрения полноценного бэкдора. Gopuram, вероятно, является конечной полезной нагрузкой, позволяющей злоумышленникам долгое время оставаться в системе и проводить дальнейшие атаки. Это подтверждает, что Lazarus продолжает совершенствовать свои инструменты и методы, оставаясь одной из самых опасных кибергруппировок в мире.
Компаниям, использующим 3CXDesktopApp, рекомендуется немедленно проверить системы на признаки заражения и принять меры по блокировке известных индикаторов компрометации. Эксперты также советуют усилить мониторинг сетевой активности, особенно в организациях, связанных с криптовалютной индустрией.
Индикаторы компрометации
Domains
- wirexpro.com
- oilycargo.com
MD5
- 96d3bbf4d2cf6bc452b53c67b3f2516a
- 9f85a07d4b4abff82ca18d990f062a84