正在阅读：网络罪犯使用Gopuram恶意软件通过3CX攻击加密货币企业网络罪犯使用Gopuram恶意软件通过3CX攻击加密货币企业

卡巴斯基调查了一起通过流行的VoIP程序3CXDesktopAPP进行的供应链攻击。这次攻击的幕后恶意软件被成为Gopuram，自2020年以来，我们一直在内部对其进行跟踪，但是其感染数量在2023年3月开始增加。卡巴斯基最近的报告对Gopuram后门程序进行了概述，并观察了其对全球企业造成影响的最新攻击活动，特别是对全球加密货币公司的影响。

3月29日，有人上报了一起3CX供应链攻击。卡巴斯基研究人员分析了关于这次活动的现有报告，并审查了他们自己的遥测数据。在一台机器上，研究人员观察到一个可疑的动态链接库（DLL）被加载到受感染的3cxDesktopApp.exe进程中。

卡巴斯基专家于3月21日对与该DLL有关的案件展开调查，大约在发现供应链攻击的一周前。该DLL用于部署一个被称为“ Gopuram ”的后门程序，自2020年以来我们一直在内部对其进行跟踪。三年前，卡巴斯基调查了一家位于东南亚的加密货币公司的感染情况。在调查过程中，发现Gopuram与Applejeus在受害者机器上共存，Applejeus是一个说韩语的威胁行为者Lazarus所使用的后门。

根据卡巴斯基遥测数据得到的受害者，安装受感染的3CX软件的计算机遍及全世界，其中巴西、德国、意大利和法国的感染数字最高。尽管如此，Gopuram已经被部署到不到10台计算机上，这表明攻击者以外科手术般的精确度使用了这个后门。卡巴斯基还观察到，攻击者对加密货币公司特别有兴趣。

“信息窃取器并不是3CX供应链攻击中部署的唯一恶意有效载荷。Gopuram背后的威胁行为者还用成熟的模块化Gopuram后门感染目标机器。我们认为Gopuram是主要的植入物，也是攻击链中的最终有效载荷。我们对3CX攻击活动的调查正在进行中，我们将继续分析其部署的植入物，以找出有关供应链攻击中使用的工具集的更多细节，”卡巴斯基全球研究与分析团队安全专家Georgy Kucherin评论说。

要了解更多有关Gopuram后门程序和供应链攻击详情，请访问Securelist

要防范类似Gopuram的威胁，请遵循以下建议：

为您的员工提供基础的网络安全卫生知识培训，因为很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的；

对你的网络进行网络安全审计，并对在周边或网络内部发现的任何薄弱之处进行补救；

安装反APT和EDR解决方案，开启威胁发现和检测、事件调查和及时补救功能。为您的SOC团队提供最新的威胁情报，并定期通过专业培训提高他们的技能。卡巴斯基专家安全框架中提供了上述所有功能。

除了适当的端点保护外，专用服务还有助于抵御高调攻击。卡巴斯基管理检测和响应服务可以帮助在攻击者实现其目标之前的早期阶段识别和阻止攻击。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.