単なるインフォスティーラーではない: 3CX サプライ チェーン攻撃を通じて展開された Gopuram バックドア from securelist.com

ライブラリによってロードされるコンポーネントは、Gopuram のメイン モジュールです。
Gopuram バックドアは、仮想通貨企業への攻撃で確認されており、Lazarus 攻撃者の利益と一致しています。
3CX インプラントと同じローダー シェルコードを使用する追加のインプラントを探しているときに、マルチスキャナー サービス (MD5: 933508a9832da1150fcfdbc1ca9bc84c) で、wirexpro[.]com C2 サーバーを使用するペイロードをロードするサンプルを発見しました。
私たちのテレメトリでは、DLL をホストする実行可能ファイルである AvBugReport.exe に、Gopuram のメイン モジュール ペイロードである Guard64.dll が含まれていることを確認しました。
Gopuram の背後にいる攻撃者は、本格的なモジュール式の Gopuram バックドアを使用して標的のマシンにさらに感染します。
私たちは、Gopuram が主要なインプラントであり、攻撃チェーンの最終的なペイロードであると考えています。