Des entreprises de crypto-monnaies ciblées par le malware Gopuram via l’attaque 3CX

0
250

Kaspersky a enquêté sur une attaque de la chaîne d’approvisionnement lancée par le biais de 3CXDesktopApp, un programme de VoIP très utilisé. Le malware à l’origine de cette attaque, baptisé Gopuram, fait l’objet d’un suivi en interne depuis 2020, mais le nombre d’infections a commencé à augmenter en mars 2023. Le dernier rapport de Kaspersky offre un aperçu sur cette porte dérobée Gopuram, avec une analyse approfondie de la dernière campagne qui a affecté les entreprises, a fortiori les sociétés de crypto-monnaies, et ce dans le monde entier.

Tribune – Le 29 mars, une attaque de la chaîne d’approvisionnement 3CX a été signalée. Les chercheurs de Kaspersky ont analysé les rapports disponibles sur cette campagne et examiné les données télémétriques collectées jusqu’alors. Sur une machine, les chercheurs ont observé une bibliothèque de liens dynamiques (Dynamic Link Library, DLL) suspecte qui était insérée dans le processus 3CXDesktopApp.exe contaminé. 

Le 21 mars, les experts Kaspersky ont ouvert une enquête sur un cas lié à cette DLL, soit une semaine avant la découverte de l’attaque de la chaîne d’approvisionnement. Cette DLL était utilisée dans le déploiement d’une porte dérobée baptisée “Gopuram” et faisait l’objet d’un suivi interne depuis 2020. Il y a trois ans, Kaspersky a enquêté sur le cas d’une attaque ayant pris pour cible une société de crypto-monnaie située en Asie du Sud-Est. Au cours de l’enquête, il a été constaté que Gopuram coexistait sur les machines des victimes avec AppleJeus, une porte dérobée attribuée à l’acteur de menace coréen Lazarus

En ce qui concerne la victimologie de cette campagne, la télémétrie de Kaspersky permet de déterminer que les installations du logiciel 3CX infecté se trouvent partout dans le monde, les taux d’infection les plus élevés étant observés au Brésil, en Allemagne, en Italie et en France. Malgré cette amplitude, Gopuram a été déployé sur moins de dix machines, ce qui indique que les attaquants ont utilisé cette porte dérobée avec une précision chirurgicale. Les conclusions de Kaspersky pointent aussi le fait que les attaquants s’intéressent particulièrement aux sociétés de crypto-monnaies.

« L’infostealer n’est pas la seule charge utile malveillante déployée lors de l’attaque de la chaîne d’approvisionnement 3CX. L’acteur de la menace derrière Gopuram infecte également les machines cibles avec la porte dérobée modulaire Gopuram. Nous pensons que Gopuram est l’implant principal et la charge utile finale de la chaîne d’attaque. Notre enquête sur la campagne 3CX est en cours et nous continuerons à analyser les modules déployés pour en apprendre plus sur l’ensemble des outils utilisés dans l’attaque de la chaîne d’approvisionnement », commente Georgy Kucherin, expert en sécurité au GReAT, Kaspersky. 

Pour en savoir plus sur la porte dérobée Gopuram et l’attaque de la chaîne d’approvisionnement, consultez Securelist.

Pour vous protéger contre les menaces similaires à Gopuram, suivez ces recommandations :

  • Dispensez  à votre personnel une formation de base sur les bonnes pratiques en matière de cybersécurité, car de nombreuses attaques ciblées commencent par du phishing  et autres techniques d’ingénierie sociale ;

  • Réalisez un audit de cybersécurité de vos réseaux et corrigez toutes les vulnérabilités découvertes dans le périmètre ou à l’intérieur du réseau.

  • Installez des solutions EDR et anti-APT, permettant la découverte et la détection des menaces, l’investigation et la remédiation rapide des incidents. Donnez à votre équipe SOC l’accès aux dernières informations sur les menaces, et formez-la régulièrement à l’aide de formations professionnelles.

  • En plus d’une protection des terminaux adéquate, les services dédiés peuvent aider à lutter contre les attaques les plus graves.