# Gopuram > Tipo: **backdoor (supply chain)** · [Kaspersky Research](https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/) ## Descrição [[gopuram|Gopuram]] é um backdoor descoberto pela Kaspersky em abril de 2023 como payload final de um dos ataques de cadeia de suprimentos de software mais significativos do ano: o comprometimento do software de comúnicações empresariais 3CX Desktop App. O [[g0032-lazarus-group|Lazarus Group]] comprometeu o processo de build da 3CX para inserir código malicioso nos instaladores oficiais do aplicativo - que foram distribuídos para mais de 600.000 organizações globalmente via atualizações legítimas e assinadas digitalmente. O Gopuram foi seletivamente implantado apenas em um subconjunto dos sistemas comprometidos, indicando que o Lazarus identificou e focou em alvos específicos de alto valor entre as vítimas. O [[gopuram|Gopuram]] fornece capacidades completas de backdoor: acesso a sistemas de arquivos, execução de processos, injeção em processos em execução, e comunicação C2 via HTTP/HTTPS cifrado. O malware demonstra conexões técnicas com implantes anteriores do [[g0032-lazarus-group|Lazarus Group]] - incluindo SiestaGraph e AppleJeus - confirmando a atribuição. A implantação seletiva do Gopuram (apenas em alvos de interesse, não em todos os sistemas afetados pelo 3CX malicioso) demonstra o planejamento cirúrgico do grupo em grandes operações de supply chain. O caso 3CX/[[gopuram|Gopuram]] foi particularmente notável por ser um supply chain attack que comprometeu um supply chain attack anterior: investigações revelaram que a 3CX havia sido inicialmente comprometida via outro software comprometido (X_TRADER), tornando este um caso duplo de cadeia de comprometimento que ilustra o potencial de cascata de ataques à cadeia de suprimentos de software. **Plataformas:** Windows, macOS ## Técnicas Utilizadas - [[t1195-002-compromise-software-supply-chain|T1195.002 - Compromise Software Supply Chain]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] ## Grupos que Usam - [[g0032-lazarus-group|Lazarus Group]] ## Detecção > [!tip] Indicadores de Detecção > - Verificar versões do 3CX Desktop App instaladas (versões comprometidas: 18.12.407 e 18.12.416 Windows, 18.11.1213 macOS) > - Remover e reinstalar o 3CX se versões comprometidas foram instaladas, com investigação completa de IOCs > - Monitorar comúnicações do processo 3CX para domínios/IPs não relacionados à infraestrutura oficial 3CX > - Implementar verificação de integridade de software para aplicativos de comunicação empresarial > - Desenvolver programa de gestão de risco de cadeia de suprimentos de software (SCRM) ## Relevância LATAM/Brasil O software 3CX é amplamente utilizado por empresas brasileiras para comúnicações corporativas - centrais telefônicas, call centers e comúnicações unificadas. O comprometimento via Gopuram potencialmente afetou organizações brasileiras usuárias do software, especialmente aquelas nos setores financeiro e tecnológico que são alvos de interesse do [[g0032-lazarus-group|Lazarus Group]]. Este incidente destaca a importância de programas de verificação de integridade de software e gestão de risco de cadeia de suprimentos para organizações brasileiras que dependem de software de terceiros para operações críticas. ## Referências - [Kaspersky SecureList - Gopuram / 3CX](https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/)