Новые подробности атаки по компании 3CX
По следам недавней атаки по 3CX выяснилось, что злоумышленники закидывали бэкдор в криптокомпании. Исследователи обнаружили Gopuram, визитную карточку северокорейских хакеров, на некоторых заражённых машинах. При этом их меньше десятка, так что бэкдор засылали с хирургической точностью. На фоне этого массовая рассылка инфостилера выглядит как разведоперация для поиска нужных целей с полноценным бэкдором в качестве конечной нагрузки.
Каким образом Lazarus скомпрометировали сети 3CX, пока неясно. Пока очевидно, что троянизированные версии софта как-то попали в их девелоперскую среду в духе печально известного инцидента с SolarWinds. Между тем анализ сетей показал, что северокорейцы работали над этой операцией ещё с осени прошлого года. Об успешности атаки пока судить рано. Но крупные криптокражи сезона 2023 от северокорейских стахановцев вполне могут стать последствиями этой атаки. Так что будем следить за развитием событий.