Des entreprises de crypto-monnaies ciblées par le malware Gopuram via l'attaque 3CX
Kaspersky a enquêté sur une attaque de la chaîne d'approvisionnement lancée par le biais de 3CXDesktopApp, un programme de VoIP très utilisé. Le malware à l'origine de cette attaque, baptisé Gopuram, fait l'objet d'un suivi en interne depuis 2020, mais le nombre d'infections a commencé à augmenter en mars 2023. Le dernier rapport de Kaspersky offre un aperçu sur cette porte dérobée Gopuram, avec une analyse approfondie de la dernière campagne qui a affecté les entreprises, a fortiori les sociétés de crypto-monnaies, et ce dans le monde entier.
Le 29 mars, une attaque de la chaîne d'approvisionnement 3CX a été signalée. Les chercheurs de Kaspersky ont analysé les rapports disponibles sur cette campagne et examiné les données télémétriques collectées jusqu’alors. Sur une machine, les chercheurs ont observé une bibliothèque de liens dynamiques (Dynamic Link Library, DLL) suspecte qui était insérée dans le processus 3CXDesktopApp.exe contaminé.
Le 21 mars, les experts Kaspersky ont ouvert une enquête sur un cas lié à cette DLL, soit une semaine avant la découverte de l'attaque de la chaîne d'approvisionnement. Cette DLL était utilisée dans le déploiement d'une porte dérobée baptisée "Gopuram" et faisait l'objet d'un suivi interne depuis 2020. Il y a trois ans, Kaspersky a enquêté sur le cas d’une attaque ayant pris pour cible une société de crypto-monnaie située en Asie du Sud-Est. Au cours de l'enquête, il a été constaté que Gopuram coexistait sur les machines des victimes avec AppleJeus, une porte dérobée attribuée à l'acteur de menace coréen Lazarus.
En ce qui concerne la victimologie de cette campagne, la télémétrie de Kaspersky permet de déterminer que les installations du logiciel 3CX infecté se trouvent partout dans le monde, les taux d'infection les plus élevés étant observés au Brésil, en Allemagne, en Italie et en France. Malgré cette amplitude, Gopuram a été déployé sur moins de dix machines, ce qui indique que les attaquants ont utilisé cette porte dérobée avec une précision chirurgicale. Les conclusions de Kaspersky pointent aussi le fait que les attaquants s'intéressent particulièrement aux sociétés de crypto-monnaies.
« L'infostealer n'est pas la seule charge utile malveillante déployée lors de l'attaque de la chaîne d'approvisionnement 3CX. L'acteur de la menace derrière Gopuram infecte également les machines cibles avec la porte dérobée modulaire Gopuram. Nous pensons que Gopuram est l'implant principal et la charge utile finale de la chaîne d'attaque. Notre enquête sur la campagne 3CX est en cours et nous continuerons à analyser les modules déployés pour en apprendre plus sur l'ensemble des outils utilisés dans l'attaque de la chaîne d'approvisionnement », commente Georgy Kucherin, expert en sécurité au GReAT, Kaspersky.
Pour en savoir plus sur la porte dérobée Gopuram et l'attaque de la chaîne d'approvisionnement, consultez Securelist.
Pour vous protéger contre les menaces similaires à Gopuram, suivez ces recommandations :
● Dispensez à votre personnel une formation de base sur les bonnes pratiques en matière de cybersécurité, car de nombreuses attaques ciblées commencent par du phishing et autres techniques d'ingénierie sociale ;
● Réalisez un audit de cybersécurité de vos réseaux et corrigez toutes les vulnérabilités découvertes dans le périmètre ou à l'intérieur du réseau.
● Installez des solutions EDR et anti-APT, permettant la découverte et la détection des menaces, l'investigation et la remédiation rapide des incidents. Donnez à votre équipe SOC l'accès aux dernières informations sur les menaces, et formez-la régulièrement à l'aide de formations professionnelles. Tous ces éléments sont inclus dans l’offre Kaspersky Expert Security.
● En plus d'une protection des terminaux adéquate, les services dédiés peuvent aider à lutter contre les attaques les plus graves. Le service Kaspersky Managed Detection and Response permet d'identifier et de bloquer les attaques à un stade précoce, avant que les attaquants n'atteignent leurs objectifs.
A propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux.
Des entreprises de crypto-monnaies ciblées par le malware Gopuram via l'attaque 3CX
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >