북한의 Lazarus Group이 암호 회사에 대한 공급망 공격을 시작했습니까?

• 사이버 보안 회사인 Kaspersky는 최근 암호 회사를 대상으로 한 3CX 공급망 공격을 조사했습니다.
• 조사 결과 북한의 라자루스 그룹이 공격 배후에 있었을 가능성이 있는 것으로 밝혀졌다.

인기 있는 사이버 보안 회사인 Kaspersky는 최근 인기 있는 VoIP(Voice over Internet Protocol) 소프트웨어 제공업체인 3CX에 대한 공급망 공격에 대한 조사를 마쳤습니다. 이 공격은 3월 29일에 밝혀졌으며 암호 화폐 회사에 영향을 미쳤다고 합니다.

Kaspersky는 4월 3일 사용 가능한 데이터를 분석하고 자체 원격 분석을 검토한 후 이 문제에 대한 보고서를 발표했습니다.

해커는 수술 정밀도로 암호 회사를 표적으로 삼습니다.

에 따르면 보고서, Kaspersky 전문가는 모니터링하고 있던 컴퓨터 중 하나에서 감염된 3CXDesktopApp.exe 프로세스에 로드된 의심스러운 DLL(동적 링크 라이브러리)을 발견했습니다. 이 DLL은 Kaspersky가 2020년부터 추적해 온 “Gopuram”이라는 백도어에 연결되었습니다.

Kaspersky는 또한 3월 21일 Gopuram 백도어와 관련된 사례를 열었습니다. 흥미롭게도 이때는 3CX 공급망 공격이 발견되기 대략 일주일 전이었습니다. Kaspersky의 이전 조사는 Gopuram 백도어의 기원에 대해 더 많은 정보를 제공했습니다.

3년 전 사이버 보안 회사는 동남아시아에 위치한 암호화폐 회사의 감염을 조사했습니다. 이 조사에서 그들은 Gopuram이 AppleJeus와 관련된 또 다른 백도어인 AppleJeus와 함께 피해 시스템에 공존하고 있음을 발견했습니다. 라자루스 그룹북한에 기반을 둔 악명 높은 해커 그룹.

Kaspersky의 원격 측정 결과 감염된 3CX 소프트웨어가 전 세계에 설치되어 있는 것으로 나타났습니다. 브라질, 독일, 이탈리아, 프랑스는 감염 건수가 가장 많았습니다.

그러나 Gopuram 백도어는 10개 미만의 시스템에 배포되었습니다. 이것은 이 캠페인의 배후에 있는 공격자가 표적을 매우 정확하게 지정했음을 나타냅니다.

Kaspersky GReAT의 보안 전문가인 Georgy Kucherin은 다음과 같이 말했습니다.

“우리는 Gopuram이 공격 체인의 주요 임플란트이자 최종 페이로드라고 믿습니다. 3CX 캠페인에 대한 조사가 진행 중이며 배포된 임플란트를 계속 분석하여 공급망 공격에 사용된 도구 세트에 대한 자세한 내용을 알아낼 것입니다.”

암호 화폐 회사에 대한 특정 관심은 해커가 디지털 통화 또는 민감한 금융 정보와 같은 귀중한 자산을 훔치려 했을 수 있음을 시사합니다.

이것은 AMBCrypto 영어의 번역입니다.