先月の 3CX サプライ チェーン攻撃の調査により、別のサプライ チェーン侵害が原因であることが判明しました。この攻撃では、北朝鮮の攻撃者と疑われる人物が、株式取引の自動化企業である Trading Technologies のサイトに侵入し、トロイの木馬化されたソフトウェア ビルドをプッシュしました。
Mandiant Consulting の CTO である Charles Carmakal 氏は、次のように述べています。
「この情報が公開されれば、企業が侵害されたと判断し、インシデントを封じ込めるプロセスが加速することを願っています。」
Trading Technologies の X_TRADER ソフトウェアの悪意のあるインストーラーは、シェルコードを実行し、通信モジュールを Chrome、Firefox、または Edge プロセスに挿入し、自身を終了させるように設計された、多段階のモジュラー バックドア VEILEDSIGNAL を展開しました。
3CX がインシデントを調査するのを支援したサイバーセキュリティ会社である Mandiant によると、脅威グループ (UNC4736 として追跡) は、収集した資格情報を使用して 3CX のネットワークを横方向に移動し、最終的に Windows と macOS の両方のビルド環境に侵入しました。
「Windows ビルド環境で、攻撃者は TAXHAUL ランチャーと COLDCAT ダウンローダーを展開し、IKEEXT サービスの DLL ハイジャックを実行して持続し、LocalSystem 権限で実行しました」とMandiant 氏は述べています。
「macOS ビルド サーバーは、LaunchDaemons を永続化メカニズムとして使用する POOLRAT バックドアで侵害されました。」
このマルウェアは、正規の Microsoft Windows バイナリを介した DLL サイドローディングによって持続性を達成していたため、検出が困難でした。
また、起動時に自動的にロードされ、侵害されたすべてのデバイスへのインターネット経由のリモート アクセスを攻撃者に許可します。
Operation AppleJeusへのリンク
Mandiant は、UNC4736 はAppleJeus 作戦の背後にある金銭目的の北朝鮮の Lazarus グループに関連していると述べています [ 1、2、3 ]。 2022年3月のレポートです。
インフラストラクチャの重複に基づいて、サイバーセキュリティ会社は UNC4736 を、UNC3782 および UNC4469 として追跡される APT43 の疑いのある悪意のある活動の 2 つのクラスターとも関連付けました。
Mandiant の Google Cloud プリンシパル アナリストである Fred Plan 氏は次のように述べています。
「これは、TTP の類似点と他のインフラストラクチャでの重複と相まって、これらの事業者が結び付いているという適度な自信を与えてくれます。」
3CX サプライチェーン攻撃
3 月 29 日、3CX は、同社の Electron ベースのデスクトップ クライアントである 3CXDesktopApp が侵害され、マルウェアを配布したことを認めました。 これは、サプライ チェーン攻撃のニュースが表面化した 1 日後のことです。
3CX が、CrowdStrike、ESET、Palo Alto Networks、SentinelOne、SonicWall などの複数のサイバーセキュリティ企業によって、そのソフトウェアが悪意があると特定されたという顧客の報告に対応するのに 1 週間以上かかりました。
同社の CEO である Nick Galea 氏は、攻撃が明らかになった後、3CX デスクトップ クライアントで使用されている ffmpeg バイナリが最初の侵入ベクトルであった可能性があるとも語っています。しかし、FFmpeg は Galea の主張を否定し、侵害されていないソース コードのみを提供していると述べました。
3CX は、すべての Windows および macOS デバイスから Electron デスクトップ クライアントをアンインストールし (一括アンインストール スクリプトはここにあります)、すぐにプログレッシブ Web アプリケーション (PWA) Web クライアント アプリに切り替えて、同様の機能を提供するよう顧客にアドバイスしました。
3CX の開示に対応して、セキュリティ研究者のチームは、同社の顧客が IP アドレスが 2023 年 3 月のサプライ チェーン攻撃の影響を受けた可能性があるかどうかを判断するのに役立つ Web ベースのツールを作成しました。
同社の公式ウェブサイトによると、3CX 電話システムには毎日 1,200 万人以上のユーザーがおり、American Express、Coca-Cola、McDonald’s、Air France、IKEA、英国の国民健康サービス、および複数の自動車メーカー。
「特定されたソフトウェア サプライ チェーン侵害は、追加のソフトウェア サプライ チェーン侵害につながったことを認識している最初のものです」と Mandiant 氏は述べています。
「この種の侵害の潜在的な到達範囲を示しています。特に、この調査で示されているように、攻撃者が侵入を連鎖させることができる場合です。」
Comments