¿Lazarus Group de Corea del Norte lanzó un ataque a la cadena de suministro contra las criptoempresas?

• La firma de seguridad cibernética Kaspersky investigó recientemente un ataque a la cadena de suministro de 3CX dirigido a firmas de criptomonedas.
• La investigación reveló que el Grupo Lazarus de Corea del Norte pudo haber estado detrás del ataque.

La popular firma de ciberseguridad Kaspersky concluyó recientemente una investigación sobre un ataque a la cadena de suministro en 3CX, un popular proveedor de software VoIP (Voice over Internet Protocol). El ataque salió a la luz el 29 de marzo y, según se informa, afectó a las empresas de criptomonedas.

Kaspersky publicó el pasado 3 de abril su informe al respecto tras analizar los datos disponibles y revisar su propia telemetría.

Los piratas informáticos apuntan a las empresas criptográficas con precisión quirúrgica

De acuerdo con la informe, los expertos de Kaspersky encontraron una biblioteca de vínculos dinámicos (DLL) sospechosa que se cargó en el proceso 3CXDesktopApp.exe infectado en una de las máquinas que estaban monitoreando. Esta DLL estaba vinculada a una puerta trasera conocida como «Gopuram», que Kaspersky había estado rastreando desde 2020.

Kaspersky también abrió un caso vinculado a la puerta trasera de Gopuram el 21 de marzo. Curiosamente, esto fue aproximadamente una semana antes de que se descubriera el ataque a la cadena de suministro de 3CX. Las investigaciones anteriores de Kaspersky arrojaron más luz sobre los orígenes de la puerta trasera de Gopuram.

Hace tres años, la firma de ciberseguridad investigó una infección de una empresa de criptomonedas ubicada en el sudeste asiático. Durante esta investigación, descubrieron que Gopuram coexistía en las máquinas de las víctimas con AppleJeus, otra puerta trasera que se ha asociado con el Grupo Lázaroel notorio grupo de piratas informáticos con sede en Corea del Norte.

La telemetría de Kaspersky reveló que las instalaciones del software 3CX infectado estaban ubicadas en todo el mundo. Brasil, Alemania, Italia y Francia registraron el mayor número de infestaciones.

Sin embargo, la puerta trasera de Gopuram se implementó en menos de diez máquinas. Esto indicó que los atacantes detrás de esta campaña fueron muy precisos en sus objetivos.

Georgy Kucherin, experto en seguridad de GReAT, Kaspersky, dijo:

“Creemos que Gopuram es el implante principal y la carga útil final en la cadena de ataque. Nuestra investigación de la campaña 3CX está en curso y continuaremos analizando los implantes implementados para conocer más detalles sobre el conjunto de herramientas utilizado en el ataque a la cadena de suministro”.

El interés específico en las empresas de criptomonedas sugiere que los piratas informáticos pueden haber estado buscando robar activos valiosos, como monedas digitales o información financiera confidencial.

Esta es una traducción automática de nuestra versión en inglés.