Kaspersky Temukan Serangan Rantai Pasok Besar-Besaran yang Targetkan Perusahaan Kripto

Perusahaan cybersecurity global Crowdstrik dan Kaspersky menemukan adanya serangan rantai pasokan besar-besaran yang menargetkan sejumlah kecil perusahaan kripto global di mana serangan rantai pasok ini mengirimkan backdoor untuk menginfeksi aplikasi komunikasi di dalam komputer.

Dilansir dari Cointelegraph pada Rabu (5/4/2023), Crowdstrike pada 29 Maret lalu melaporkan bahwa mereka telah mengidentifikasi aktivitas berbahaya pada aplikasi softphone 3CX 3CXDekstopApp. Aplikasi ini dipasarkan ke klien korporat.

Aktivitas jahat yang terdeteksi termasuk merujuk ke infrastruktur yang dikendalikan oleh aktor, penerapan muatan tahap kedua, dan dalam sejumlah kasus juga adanya aktivitas hand-on-keyboard.

Baca Juga: Analis Mike McGlone Sebut Bitcoin Aman di Tengah Tekanan Peraturan Kripto

Sementara itu Kaspersky menyampaikan bahwa pihaknya mencurigai keterlibatan aktor ancaman terkait Korea Utara, Labyrinth Chollima 3CX, mengatakan tentang infeksi, "tampaknya ini adalah serangan yang ditargetkan dari Advanced Persistent Threat, bankan mungkin disponsori oleh negara yang menjalankan serangan rantai pasokan yang rumit dan memilih siapa yang akan mengunduh tahap selanjutnya dari malware mereka."

Kaspersky sudah menyelidiki pusat tautan dinamis (DLL) yang ditemukan di salah satu file 3CXDekstopApp.exe yang terinfeksi. DLL yang dimaksud telah digunakan untuk mengirimkan backdoor Gopuran, meski itu bukan satu-satunya muatan jahat yang digunakan dalam serangan tersebut. Gopuram ditemukan hidup berdampingan dengan backdoor AppleJeus yang dikaitkan dengan kelompok Lazarus Korea Utara.

Perangkat lunak 3CX yang terinfeksi terdeteksi di seuruh dunia dengan angka infeksi tertinggi di Brasil, Jerman, Italia, dan Prancis. Gopuram telah digunakan di kurang 10 komputer secara global. Kaspersky juga telah menemukan infeksi Gopuram di perusahaan kripto Asia Tenggara. Ada pun aplikasi 3CX yang terinfeksi memiliki sertifikasi DigiCert.