Kaspersky a enquêté sur une attaque de la chaîne d’approvisionnement lancée par le biais de 3CXDesktopApp, un programme de VoIP très utilisé. Le malware à l’origine de cette attaque, baptisé Gopuram, fait l’objet d’un suivi en interne depuis 2020, mais le nombre d’infections a commencé à augmenter en mars 2023. Le dernier rapport de Kaspersky offre un aperçu sur cette porte dérobée Gopuram, avec une analyse approfondie de la dernière campagne qui a affecté les entreprises, a fortiori les sociétés de crypto-monnaies, et ce dans le monde entier.
Tribune – Le 29 mars, une attaque de la chaîne d’approvisionnement 3CX a été signalée. Les chercheurs de Kaspersky ont analysé les rapports disponibles sur cette campagne et examiné les données télémétriques collectées jusqu’alors. Sur une machine, les chercheurs ont observé une bibliothèque de liens dynamiques (Dynamic Link Library, DLL) suspecte qui était insérée dans le processus 3CXDesktopApp.exe contaminé.
Le 21 mars, les experts Kaspersky ont ouvert une enquête sur un cas lié à cette DLL, soit une semaine avant la découverte de l’attaque de la chaîne d’approvisionnement. Cette DLL était utilisée dans le déploiement d’une porte dérobée baptisée « Gopuram » et faisait l’objet d’un suivi interne depuis 2020. Il y a trois ans, Kaspersky a enquêté sur le cas d’une attaque ayant pris pour cible une société de crypto-monnaie située en Asie du Sud-Est. Au cours de l’enquête, il a été constaté que Gopuram coexistait sur les machines des victimes avec AppleJeus, une porte dérobée attribuée à l’acteur de menace coréen Lazarus.
En ce qui concerne la victimologie de cette campagne, la télémétrie de Kaspersky permet de déterminer que les installations du logiciel 3CX infecté se trouvent partout dans le monde, les taux d’infection les plus élevés étant observés au Brésil, en Allemagne, en Italie et en France. Malgré cette amplitude, Gopuram a été déployé sur moins de dix machines, ce qui indique que les attaquants ont utilisé cette porte dérobée avec une précision chirurgicale. Les conclusions de Kaspersky pointent aussi le fait que les attaquants s’intéressent particulièrement aux sociétés de crypto-monnaies.