Symantec の脅威ハンター チームによると、先月の 3CX 侵害につながった X_Trader ソフトウェア サプライ チェーン攻撃は、米国とヨーロッパの少なくともいくつかの重要なインフラストラクチャ組織にも影響を与えました。
Trading Technologies および 3CX 攻撃に関連する北朝鮮が支援する脅威グループは、X_Trader ソフトウェアのトロイの木馬化されたインストーラーを使用して、VEILEDSIGNAL マルチステージ モジュラー バックドアを被害者のシステムに展開しました。
マルウェアがインストールされると、悪意のあるシェルコードを実行したり、侵害されたシステムで実行されている Chrome、Firefox、または Edge プロセスに通信モジュールを挿入したりする可能性があります。
「シマンテックのスレット ハンター チームによる最初の調査では、これまでのところ、被害者の中にはエネルギー分野の 2 つの重要なインフラストラクチャ組織が含まれていることがわかりました。1 つは米国に、もう 1 つはヨーロッパにあります」と、同社は本日発表したレポートで述べています。
「これに加えて、金融取引に関与する他の 2 つの組織も侵害されました。」
Trading Technologies のサプライ チェーン侵害は金銭目的のキャンペーンの結果ですが、北朝鮮が支援するハッキング グループがサイバー スパイ活動でも知られていることを考えると、複数の重要なインフラストラクチャ組織への侵害は懸念されます。
このサプライ チェーン攻撃の一部として侵害された戦略的組織も、その後の悪用の対象に選ばれる可能性が非常に高いです。
シマンテックは 2 つのエネルギー部門組織の名前を挙げていませんが、シマンテック脅威ハンター チームのセキュリティ レスポンス担当ディレクターである Eric Chien 氏は、これらの組織は「エネルギーを生成し、グリッドに供給する電力供給業者」であると述べています。
広範なサプライ チェーン攻撃
トロイの木馬化された X_Trader ソフトウェアの助けを借りて、3CX 以外に少なくとも 4 つのエンティティに侵入したことから、北朝鮮のハッキング キャンペーンは、まだ発見されていない追加の被害者にすでに影響を与えている可能性が非常に高いです。
シマンテックは、「3CX が別の以前のサプライ チェーン攻撃によって侵害されたという発見により、このキャンペーンによってさらに多くの組織が影響を受ける可能性が非常に高くなりました。これは、当初考えられていたよりもはるかに広範囲に及んでいることが明らかになりました」と付け加えました。
「これらの侵害の背後にいる攻撃者は、明らかにソフトウェア サプライ チェーン攻撃の成功するテンプレートを持っており、さらに、同様の攻撃を排除することはできません。」
木曜日、Mandiant は、UNC4736 として追跡している北朝鮮の脅威グループを、3 月にVoIP 企業 3CX を襲ったカスケード サプライ チェーン攻撃に関連付けました。
UNC4736 は、以前に Google の Threat Analysis Group (TAG) によって Trading Technologies の Web サイトの侵害にリンクされていたOperation AppleJeus [1、2、3 ]の背後にある、金銭目的で北朝鮮が支援する Lazarus グループに関連しています。
攻撃インフラストラクチャの重複に基づいて、Mandiant は UNC4736 を、UNC3782 および UNC4469 として追跡された 2 つの APT43 悪意のあるアクティビティ クラスタにも関連付けました。
Comments