绝地求生难度等级

名为Lazarus Group的朝鲜威胁行为者对VoIP通信公司3CX实施了供应链攻击。 攻击者以该公司的客户为目标，对其Windows和macOS桌面应用程序分发了木马版本，导致了大规模入侵。

研究人员发现，该攻击是通过3CXDesktopApp的木马化MSI安装程序传播的，安装包包含一个受感染的DII库。 该有效载荷连接到一个命令与控制（C2）服务器，并下载一个信息窃取程序，然后收集系统信息和浏览器历史记录，并将其发送回C2服务器。

Gopuram恶意软件被发现在2023年3月感染数量增加，发现原因与3CX供应链攻击直接相关。 加密货币公司是特定的目标，恶意软件在受感染的机器上投放了两个文件：一个名为wlbsctrl.dll的恶意库和一个加密的shellcode有效载荷，位于C:\Windows\System32\config\TxR.TxR.0.regtrans-ms中。

卡巴斯基研究人员透露，Gopuram恶意软件被攻击者精确使用，目标是不到10台受感染的机器。 这表明攻击者有经济动机，并专门对此类公司感兴趣。

受感染的3CX软件安装遍布全球，其中德国、法国、意大利和巴西的感染率最高。 研究人员指出，攻击者对加密货币公司特别感兴趣。

在一些客户报告3CXDesktopApp被安全软件标记为恶意软件后、3CX确认其基于Electron的桌面客户端被恶意软件入侵。

在3CX遭受供应链攻击后，该公司已建议其客户卸载Windows和macOS系统中的Electron桌面应用程序，转而使用渐进式网络应用程序Web Client App。

梅赛德斯-奔驰、本田、法国航空、英国国家卫生服务、可口可乐、美国运通、麦当劳、宜家、宝马和丰田等知名企业和组织都是3CX的客户。