Kaspersky เปิดเผยรายงานการพบ Gopuram Malware ซึ่งเป็นมัลแวร์ที่ถูกใช้ในการโจมตี 3CX supply chain attack โดยพบว่า Hacker ได้มุ่งเป้าหมายการโจมตีไปที่บริษัททางด้าน cryptocurrency
การโจมตี 3CX supply chain attack เกิดขึ้นจากการที่ Hacker ได้โจมตีระบบของ 3CX และทำการฝัง DLL สองตัวที่เป็นอันตราย คือ ffmpeg.dll และ d3dcompiler_47.dll ลงใน 3CX desktop app เพื่อดาวน์โหลดมัลแวร์เพิ่มเติมลงในเครื่องเป้าหมาย อย่างเช่น โทรจันสำหรับขโมยข้อมูล
Kaspersky พบว่า Gopuram เป็น backdoor ที่สามารถควบคุม และจัดการ registry และ services บน Windows ได้, สามารถ inject payloads ที่เป็นอันตรายเข้าสู่ process ที่กำลังทำงานอยู่, โหลด Windows drivers ที่เป็นอันตรายโดยใช้ Kernel Driver Utility รวมถึงการจัดการผู้ใช้บางส่วนผ่านคำสั่ง net บนอุปกรณ์ที่ถูกโจมตี
โดย Gopuram ถูกกลุ่ม Lazarus นำมาใช้ในการโจมตีบริษัท cryptocurrency มาตั้งแต่ปี 2020 และพบว่าถูกได้ใช้เป็นเพย์โหลดขั้นที่สองในการโจมตี 3CX supply chain attack ทำให้มีความเป็นไปได้สูงว่ากลุ่ม Hacker ที่อยู่เบื้องหลังเหตุการณ์โจมตีในครั้งนี้คือกลุ่ม Lazarus
นอกจากนี้ Kaspersky ได้พบว่าจากการโจมตี 3CX supply chain attack ทำให้พบการแพร่กระจายของ Gopuram เพิ่มสูงขึ้น โดยพบว่า Gopuram ได้ทิ้งไลบรารีที่เป็นอันตราย (wlbsctrl.dll) และเพย์โหลดของเชลล์โค้ดที่เข้ารหัส (.TxR.0.regtrans-ms) ลงในระบบของบริษัท cryptocurrency ที่ถูกโจมตี ซึ่งกลุ่มประเทศที่พบการโจมตีดังกล่าวสูงสุดอยู่ใน บราซิล เยอรมนี อิตาลี และฝรั่งเศส
3CX แจ้งลูกค้าให้เปลี่ยนไปใช้ PWA web client
3CX ได้ออกมายืนยันว่า 3CXDesktopApp Electron client ได้ถูกโจมตี และฝังมัลแวร์ที่เป็นอันตราย โดยถูกตรวจจับว่าเป็นอันตรายจากซอฟต์แวร์รักษาความปลอดภัย เช่น Sophos และ CrowdStrike ครั้งแรกในวันที่ 29 มีนาคม 2023
โดยทาง 3CX ได้แนะนำให้ผู้ใช้งานทำการถอนการติดตั้งแอปพลิเคชัน 3CX App Electron client บน Desktop จาก Windows และ macOS แล้วเปลี่ยนไปใช้ Progressive Web Application (PWA) Web Client App แทนจนกว่าบริษัทจะแก้ไขปัญหาดังกล่าวได้
นอกจากนี้ทาง BleepingComputer ยังพบว่าการโจมตี 3CX supply chain attack (CVE-2023-29059) มีความเป็นไปได้ที่จะมีส่วนเกี่ยวข้องกับการโจมตีช่องโหว่เก่าของ Windows ที่มีอายุกว่า 10 ปี (CVE-2013-3900) ซึ่งเป็นช่องโหว่การปลอมแปลง DLL ที่เป็นอันตราย ให้กลายเป็น DLL ที่ถูกต้อง และไม่ถูกตรวจจับโดยอุปกรณ์ด้านความปลอดภัย
ที่มา : bleepingcomputer
You must be logged in to post a comment.