Les pirates à l’origine des récentes attaques à grande échelle de la chaîne d’approvisionnement contre le fournisseur de VoIP 3CX ciblent désormais spécifiquement les sociétés de crypto-monnaie dans le but de vider leurs portefeuilles, ont averti les chercheurs.
En distribuant une version trojanisée de la solution VoIP, les attaquants ont réussi à infiltrer des dizaines d’entreprises et à placer divers logiciels malveillants de niveau 2 sur leurs terminaux.
Désormais, les chercheurs en cybersécurité de Kaspersky ont découvert que les attaquants ciblaient également, avec une grande précision, pas plus d’une douzaine d’entreprises, avec une porte dérobée unique appelée Gopuram.
Porte dérobée modulaire
BipOrdinateur décrit Gopuram comme une porte dérobée modulaire capable d’horodater pour échapper à la détection, d’injecter de la charge utile dans des processus déjà en cours d’exécution, de charger des pilotes Windows non signés à l’aide de l’utilitaire de pilote du noyau open source, etc.
En fait, c’est l’utilisation de Gopuram qui a amené Kaspersky à identifier l’acteur menaçant derrière toute l’opération comme étant le groupe nord-coréen Lazarus.
« La découverte des nouvelles infections à Gopuram nous a permis d’attribuer la campagne 3CX à l’acteur menaçant Lazarus avec une confiance moyenne à élevée. Nous pensons que Gopuram est le principal implant et la charge utile finale dans la chaîne d’attaque », ont déclaré les chercheurs de Kaspersky.
Lazarus a ciblé moins de dix machines avec cette porte dérobée, qui sont toutes des entreprises de cryptographie, a-t-on dit. La motivation est très probablement financière, suggèrent les chercheurs.
« En ce qui concerne les victimes de notre télémétrie, les installations du logiciel 3CX infecté sont situées dans le monde entier, avec les chiffres d’infection les plus élevés observés au Brésil, en Allemagne, en Italie et en France », indique le rapport. « Comme la porte dérobée Gopuram a été déployée sur moins de dix machines infectées, cela indique que les attaquants ont utilisé Gopuram avec une précision chirurgicale. Nous avons également observé que les attaquants ont un intérêt spécifique pour les sociétés de crypto-monnaie. »
3CX compte plus de 12 millions d’utilisateurs quotidiens, avec des produits utilisés par plus de 600 000 entreprises dans le monde. Sa liste de clients comprend des entreprises et des organisations de premier plan comme American Express, Coca-Cola, McDonald’s, Air France, IKEA, le National Health Service du Royaume-Uni et plusieurs constructeurs automobiles, dont BMW, Honda, Toyota et Mercedes-Benz.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)