3CX 의 공급망 공격을 통해 배포된 Gopuram 백도어는 단순한 정보 스틸러만이 아닙니다. 관련 IOC 8개 발견
3CXDesktopApp를 통한 공급망 공격에 관한 보고서를 Crowdstrike가 3월 29일에 발표했다. 설치 패키지에서 악성 DLL 라이브러리가 발견되었으며, 이는 GitHub 저장소에서 URL을 다운로드하고 정보 스틸러를 실행한다. 이 정보 스틸러는 정보를 수집하여 C2 서버로 전송한다. guard64.dll이라는 DLL이 발견되었는데, 2020년부터 Gopuram 백도어와 관련되어 있으며 Crowdstrike에서 추적하고 있다. 이 감염은 2023년 3월부터 증가하기 시작하였고, 3CX 공급망 공격과 관련되었다. 이는 Lazarus 위협 주체에 의해 AppleJeus와 연결되었다.
Securelist
Not just an infostealer: Gopuram backdoor deployed through 3CX supply chain attack
Crowdstrike published a report on March 29th regarding a supply chain attack via 3CXDesktopApp, a VoIP program. Installation packages were found to contain a malicious dll library which payload downloads URLs from a GitHub repository and executes an infostealer. This infostealer collects information and sends it to a C2 server. DLL called guard64.dll was found which is linked to a backdoor called Gopuram, observed since 2020 and tracked by Crowdstrike since then. It is associated with AppleJeus, attributed to the Lazarus threat actor. The number of infections began increasing in March 2023 and was related to the 3CX supply chain attack.
https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/