新出现的证据表明,黑客篡改了3CX应用程序交付恶意软件根据反病毒提供商卡巴斯基的说法,这样做是为了渗透加密货币公司。
卡巴斯基今天发布了一份报告(在新窗口中打开)检查后门黑客有选择地将被劫持的3CX桌面应用程序分发到安装了该应用程序的计算机上。研究发现,后门程序与恶意软件受害者之间存在共同联系。
该公司援引自己的遥测数据(包括卡巴斯基的用户)表示:“我们发现,威胁行为者专门针对加密货币公司。防病毒保护.
3 cx提供VoIP服务成千上万的企业,包括麦当劳、可口可乐和宝马等大品牌。因此,这次黑客攻击引发了人们的担忧,担心受到影响的公司范围很广,尤其是杀毒公司上周发现,通过合法的3CX桌面应用程序恶意感染的数量激增。
事实上,被感染的3CX被发现传播了一个能够从计算机浏览器收集数据的信息欺诈程序。然而,卡巴斯基的报告称,黑客还以名为“Gopuram”的后门形式为选定的机器启动了额外的有效载荷。
但根据该公司自己的数据,Gopuram被部署在“不到10台受感染的机器上”。一旦安装了后门,黑客就可以秘密地劫持一台电脑。功能包括查看文件系统和在受感染的计算机上创建恶意进程的能力。
Gopuram的出现也增加了更多证据,证明3CX的黑客攻击与一个臭名昭著的朝鲜政府支持的黑客组织有关拉撒路它对窃取加密货币很感兴趣。早在2020年,卡巴斯基就在一家加密货币公司的一台机器上发现了一个Gopuram后门,该后门安装了另一个名为Gopuram的后门AppleJeus(在新窗口中打开)美国认为这是朝鲜所为。
独立的网络安全公司Crowdstrike(在新窗口中打开)和Sophos(在新窗口中打开)还发现了3CX供应链攻击与拉撒路有关的证据。然而,目前还不清楚黑客是如何渗透到VoIP公司并传播恶意软件的。与此同时,3CX已聘请网络安全团队Mandiant对该事件进行调查敦促(在新窗口中打开)客户卸载该公司的桌面应用程序。