3CX

デジタル署名され、トロイの木馬化されたバージョンの 3CX ボイス オーバー インターネット プロトコル (VOIP) デスクトップ クライアントが、進行中のサプライ チェーン攻撃で同社の顧客を標的にするために使用されていると報告されています。

3CX は VoIP IPBX ソフトウェア開発会社であり、その 3CX 電話システムは世界中の 600,000 以上の企業で使用されており、毎日 1,200 万人以上のユーザーがいます。

同社の顧客リストには、 American Express、Coca-Cola、McDonald’s、BMW、Honda、AirFrance、NHS、Toyota、Mercedes-Benz、IKEA、HollidayInn などの著名な企業や組織の長いリストが含まれています。

Sophos と CrowdStrike のセキュリティ研究者からのアラートによると、攻撃者は侵害された 3CX ソフトフォン アプリの Windows ユーザーと macOS ユーザーの両方を標的にしています。

CrowdStrike の脅威インテリジェンス チームは、「悪意のある活動には、攻撃者が制御するインフラストラクチャへのビーコン、第 2 段階のペイロードの展開、および少数のケースではキーボード操作による活動が含まれます」 と述べています。

ソフォスは、Managed Detection and Response サービスを通じて発行されたアドバイザリで、「これまでに観察された最も一般的なエクスプロイト後のアクティビティは、インタラクティブなコマンド シェルの生成です」と付け加えました。

CrowdStrike は、 Labyrinth Collimaがこの攻撃の背後にあることから、北朝鮮政府が支援するハッキング グループを追跡している疑いがありますが、Sophos の研究者は、「この帰属を高い信頼性で検証することはできない」と述べています。

Labyrinth Collima の活動は、Kaspersky による Lazarus Group、Dragos による Covellite、Mandiant による UNC4034、Microsoft による Zinc、および Secureworks による Nickel Academy として追跡されている他の脅威アクターと重複することが知られています。

セキュリティソフトウェアによって悪意のあるものとしてタグ付けされました

トロイの木馬化されたとされるバージョンのソフトウェアをテストしましたが、これらのドメインへの接続をトリガーすることはできませんでした。

ただし、3CX のフォーラムの複数の顧客は、1 週間前の3 月 22 日から、VoIP クライアント アプリがSentinelOneCrowdStrike 、およびESETセキュリティ ソフトウェアによって悪意があるとマークされたというアラートを受け取っていると述べています。

CrowdStrike が共有したトロイの木馬化された 3CX ソフトフォン クライアント サンプルの 1 つは、3 週間以上前の 2023 年 3 月 3 日に、DigiCert が発行した正当な 3CX Ltd 証明書を使用してデジタル署名されていました。

この同じ証明書が古いバージョンのソフトウェアで使用されていることを確認しました。

署名済み 3CX VoIP クライアント アプリ
署名済み 3CX VoIP クライアント アプリ ()

デスクトップ クライアントが接続を試みたドメインには、azureonlinestorage[.]com、msstorageboxes[.]com、msstorageazure[.]com などがあります。

CrowdStrike は、3CX のデスクトップ クライアントのトロイの木馬化されたバージョンが、次の攻撃者が制御するドメインのいずれかに接続すると述べています。

akamaicontainer[.]com msedgepackageinfo[.]com
akamaitechcloudservices[.]com msstorageazure[.]com
azuredeploystore[.]com msstorageboxes[.]com
azureonlinecloud[.]com officeaddons[.]com
azureonlinestorage[.]com officestoragebox[.]com
dunamistrd[.]com pbxcloudeservices[.]com
glcloudservice[.]com pbxphonenetwork[.]com
qwepoi123098[.]com zacharryblogs[.]com
sbmsa[.]ウィキ pbxsources[.]com
sourceslabs[.]com ジャーナライド[.]org
visualstudiofactory[.]com

SentinelOne は 3CXDesktopApp.exe バイナリの分析中に「侵入フレームワークまたはシェルコード」を検出し、ESET はそれを「Win64/Agent.CFM」トロイの木馬としてタグ付けしますが、CrowdStrike の Falcon OverWatch マネージド脅威ハンティング サービスは、悪意のあるアクティビティについて「緊急にシステムを調査する」ようにユーザーに警告します。 “

3CX のサポート チーム メンバーは、水曜日に顧客レポートでいっぱいのフォーラム スレッドの 1 つで、 SentinelOne の潜在的な誤検知としてタグ付けしましたが、同社はまだ問題を公に認めていません.

3CX のスポークスパーソンは、今日早く連絡を取ったとき、コメントの要求に応答しませんでした.