آیا گروه لازاروس کره شمالی حمله زنجیره تامین را به شرکت‌های ارز دیجیتال آغاز کرد؟

• شرکت امنیت سایبری Kaspersky اخیراً یک حمله زنجیره تامین 3CX را مورد بررسی قرار داده است که شرکت های رمزنگاری را هدف قرار داده است.
• تحقیقات نشان داد که گروه لازاروس کره شمالی احتمالاً پشت این حمله بوده است.

شرکت محبوب امنیت سایبری Kaspersky اخیراً تحقیقاتی را در مورد حمله زنجیره تامین به 3CX، ارائه‌دهنده نرم‌افزار محبوب VoIP (Voice over Internet Protocol) به پایان رسانده است. این حمله در 29 مارس آشکار شد و طبق گزارش‌ها شرکت‌های ارزهای دیجیتال را تحت تأثیر قرار داد.

Kaspersky گزارش خود را در 3 آوریل در مورد این موضوع پس از تجزیه و تحلیل داده های موجود و بررسی تله متری خود منتشر کرد.

هکرها شرکت های رمزنگاری را با دقت جراحی هدف قرار می دهند

بر اساس گزارشکارشناسان Kaspersky یک کتابخانه پیوند پویا (DLL) مشکوک پیدا کردند که در فرآیند آلوده 3CXDesktopApp.exe در یکی از ماشین‌هایی که تحت نظارت بودند بارگذاری شده بود. این DLL به یک درب پشتی معروف به “Gopuram” متصل بود که کسپرسکی از سال 2020 آن را ردیابی می کرد.

کسپرسکی همچنین در 21 مارس پرونده ای را در ارتباط با درب پشتی Gopuram باز کرد. جالب اینجاست که این تقریباً یک هفته قبل از کشف حمله زنجیره تامین 3CX بود. تحقیقات قبلی کسپرسکی، منشا درب پشتی Gopuram را روشن کرد.

سه سال پیش، این شرکت امنیت سایبری عفونت یک شرکت ارزهای دیجیتال واقع در جنوب شرقی آسیا را بررسی کرد. در طی این تحقیقات، آنها متوجه شدند که Gopuram در ماشین‌های قربانی با AppleJeus، یک درب پشتی دیگر که با گروه لازاروس، گروه بدنام هکر مستقر در کره شمالی.

تله متری کسپرسکی نشان داد که نصب نرم افزار 3CX آلوده در سرتاسر جهان قرار دارد. برزیل، آلمان، ایتالیا و فرانسه بیشترین تعداد آلودگی را ثبت کردند.

با این حال، درب پشتی Gopuram روی کمتر از ده ماشین مستقر شد. این نشان می دهد که مهاجمان پشت این کمپین در هدف گیری بسیار دقیق بودند.

گئورگی کوچرین، کارشناس امنیتی در GReAT، کسپرسکی، گفت:

ما معتقدیم که Gopuram ایمپلنت اصلی و محموله نهایی در زنجیره حمله است. تحقیقات ما در مورد کمپین 3CX ادامه دارد و ما به تجزیه و تحلیل ایمپلنت‌های مستقر شده ادامه می‌دهیم تا جزئیات بیشتری در مورد مجموعه ابزار مورد استفاده در حمله زنجیره تامین بدانیم.

علاقه خاص به شرکت های ارزهای دیجیتال نشان می دهد که هکرها ممکن است به دنبال سرقت دارایی های ارزشمند مانند ارزهای دیجیتال یا اطلاعات مالی حساس بوده باشند.