VoIP 通信会社 3CX は本日、北朝鮮のハッキング グループが先月のサプライ チェーン攻撃の背後にいたことを確認しました。
「これまでの 3CX への侵入とサプライ チェーン攻撃に関する Mandiant の調査に基づいて、彼らはこの活動を UNC4736 という名前のクラスターに起因すると考えています。Mandiant は、UNC4736 が北朝鮮と関係があることを高い信頼で評価しています」と 3CX の CISO である Pierre Jourdan 氏は本日述べました。
攻撃者は 3CX システムを Taxhaus (または TxRLoader) として知られるマルウェアに感染させ、Mandiant の Coldcat という名前の第 2 段階のマルウェア ダウンローダーを展開しました。
このマルウェアは、正規の Microsoft Windows バイナリを介した DLL のサイドローディングにより、侵害されたシステムで持続性を達成し、検出を困難にしていました。
さらに、感染したすべてのデバイスでシステムの起動時に自動的にロードされ、攻撃者にインターネット経由のリモート アクセスを許可します。
「Windows では、攻撃者は DLL サイドローディングを使用して TAXHAUL マルウェアの持続性を実現しました。DLL は、正当な Windows バイナリ svchost.exe を通じて、正当な Windows サービス IKEEXT によってロードされました」と Jourdan 氏は述べています。
攻撃の標的となった macOS システムは、Simplesea という名前のマルウェアでバックドアされていました。これは、Mandiant が以前に知られているマルウェア ファミリと重複するかどうかを判断するために現在も分析しています。
「サポートされているバックドア コマンドには、シェル コマンドの実行、ファイル転送、ファイルの実行、ファイル管理、および構成の更新が含まれます。また、提供された IP とポート番号の接続をテストすることもできます」と Jourdan 氏は付け加えました。
攻撃者の制御下にある複数のコマンド アンド コントロール (C2) サーバーに接続された 3CX のネットワークに UNC4736 によって展開されたマルウェア (azureonlinecloud[.]com、akamaicontainer[.]com、journalide[.]org、msboxonline[.]com など) .
3CX は、サプライ チェーンへの攻撃が最初にどのように行われたのか、開発環境が侵害されたのか、それとも他の方法で行われたのか、まだ明らかにしていません。
攻撃が最初に公開されて以来、Kaspersky は、北朝鮮が支援する Lazarus ハッキング グループが少なくとも 2020 年から仮想通貨企業に対して使用していた Gopuram として知られるバックドアも、同じ事件の第 2 段階のペイロードとして投下されたことを発見しました。限られた数の 3CX 顧客の侵害されたデバイス。
3CX は、3CXDesktopApp Electron ベースのデスクトップ クライアントがサプライ チェーン攻撃で侵害され、3 月 29 日に攻撃のニュースが表面化してから 1 日後にマルウェアを展開したことを最初に確認しました。 SentinelOne、CrowdStrike、ESET、Palo Alto Networks、および SonicWall。
同社は、影響を受ける Electron デスクトップ クライアントをすべての Windows および macOS デバイスからアンインストールし (大量アンインストール スクリプトはこちらから入手できます)、すぐに同様の機能を提供するプログレッシブ Web アプリケーション (PWA) Web クライアント アプリに切り替えることを顧客にアドバイスしました。
インシデント ( CVE-2023-29059として追跡)が公開された後、脅威アクターが10 年前の Windows の脆弱性 (CVE-2013-3900) を悪用して、ペイロードをバンドルする悪意のある DLL を正当に署名されたものとしてカモフラージュしたことも報告しました。
セキュリティ研究者は、2023 年 3 月のサプライ チェーン攻撃がIP アドレスに影響を与えた可能性があるかどうかを 3CX ユーザーが調べるのに役立つ Web ベースのツールも作成しました。
3CX によると、同社の 3CX 電話システムは、世界中の 60 万社以上の企業と毎日 1,200 万人以上のユーザーによって使用されており、その顧客リストには、American Express、Coca-Cola、McDonald’s、Air France、IKEA、英国の National Health などの著名な企業や組織が含まれています。サービス、および複数の自動車メーカー。
Comments