3CX

3CX サプライ チェーン攻撃の影響を受けた被害者の中には、Gopuram マルウェアでシステムをバックドア化したものもあり、脅威アクターは、この追加の悪意のあるペイロードで特に仮想通貨企業を標的にしています。

VoIP 通信会社 3CX は、 Lazarus Groupとして追跡されている北朝鮮の攻撃者によって侵害され、大規模なサプライ チェーン攻撃で Windows および macOS デスクトップ アプリのトロイの木馬化されたバージョンで同社の顧客を感染させました。

この攻撃では、攻撃者は Windows デスクトップ アプリで使用される 2 つの DLL を、情報を盗むトロイの木馬のような追加のマルウェアをコンピューターにダウンロードする悪意のあるバージョンに置き換えました。

それ以来、Kaspersky は、Lazarus ハッキング グループが少なくとも 2020 年から仮想通貨企業に対して使用していた Gopuram バックドアが、同じインシデントの第 2 段階のペイロードとして、影響を受けた限られた数の 3CX 顧客のシステムにも展開されたことを発見しました。

Gopuram はモジュール式のバックドアであり、オペレーターが Windows レジストリとサービスを操作したり、ファイルのタイムスタンプを実行して検出を回避したり、既に実行中のプロセスにペイロードを挿入したり、オープンソースのカーネル ドライバー ユーティリティを使用して署名されていない Windows ドライバーをロードしたりできます。感染したデバイスでの net コマンドによる部分的なユーザー管理。

「新しい Gopuram 感染の発見により、3CX キャンペーンが Lazarus 脅威アクターによるものであると中程度から高い信頼度で特定することができました。Gopuram は、攻撃チェーンの主要なインプラントであり、最終的なペイロードであると考えています」とKaspersky の研究者は述べています

2023 年 3 月に世界中で Gopuram の感染数が増加し、攻撃者が悪意のあるライブラリ (wlbsctrl.dll) と暗号化されたシェルコード ペイロード (.TxR.0.regtrans-ms) を 3CX サプライ チェーンの影響を受けた暗号通貨会社のシステムに投下しました。攻撃。

Kaspersky の研究者は、攻撃者が Gopuram を正確に使用し、感染した 10 台未満のマシンにのみ展開したことを発見しました。

カスペルスキーの専門家は、「テレメトリの被害者に関しては、感染した 3CX ソフトウェアのインストールは世界中にあり、ブラジル、ドイツ、イタリア、フランスで最も高い感染数が観察されました」と付け加えました。

「Gopuram バックドアが展開された感染マシンは 10 台未満であるため、攻撃者が外科的精度で Gopuram を使用したことを示しています。さらに、攻撃者が仮想通貨企業に特定の関心を持っていることも観察しました。」

お客様から PWA Web クライアントへの切り替えを求められた

3CX は、同社の 3CXDesktopApp Electron ベースのデスクトップ クライアントが、3 月 29 日に最初に攻撃のニュースが表面化した 1 日後、およびソフトウェアがセキュリティ ソフトウェアによって悪意のあるものとしてタグ付けされているという警告を複数の顧客が報告してから 1 週間以上後にマルウェアを含むように侵害されたことを確認しました。

同社は現在、すべての Windows および macOS システムから Electron デスクトップ アプリをアンインストールし (ネットワーク全体でアプリを一括アンインストールするためのスクリプトは、こちらから入手できます)、プログレッシブ Web アプリケーション (PWA) Web クライアント アプリに切り替えることをお客様にアドバイスしています。

セキュリティ研究者のグループは、特定の IP アドレスが 3CX に対する 2023 年 3 月のサプライ チェーン攻撃の影響を受けた可能性があるかどうかを検出するための Web ベースのツールを開発してリリースしました。

「影響を受ける可能性のある関係者の特定は、悪意のあるインフラストラクチャとやり取りしていた IP アドレスのリストに基づいています」と開発チームは説明します。

インシデント (現在はCVE-2023-29059として追跡)が公開されてから数日後に報告されたように、その背後にいる攻撃者は、10 年前の Windows の脆弱性 (CVE-2013-3900) を悪用して、悪意のある DLL が以前は追加のペイロードをドロップすると、合法的に署名されました。

同じ脆弱性を利用して、ユーザーの資格情報や個人情報を盗むことができるZloader バンキング マルウェアをWindows コンピュータに感染させています。

3CX によると、同社の 3CX 電話システムには毎日 1,200 万人を超えるユーザーがおり、世界中で 600,000 を超える企業が使用しています。

同社の顧客リストには、American Express、Coca-Cola、McDonald’s、Air France、IKEA、英国国民保健サービスなどの有名な企業や組織、および BMW、Honda、Toyota、Mercedes-Benz などの複数の自動車メーカーが含まれています。