サプライチェーン
複数のメディアによりますと、3CXのソフトウェアベースの電話アプリケーション、3CX VoIPのユーザーを標的とした大規模なサプライチェーン攻撃が報告されています。攻撃者は、Windows版とmacOS版両方の3CX VoIPアプリケーションの脆弱性を悪用し、ソフトウェアを改ざんさせることに成功しました。犯罪者は、有効な3CX証明書で署名されている不正なアプリケーションでユーザーを攻撃しています。詳しい被害の規模は明らかになっていませんが、3CXのホームページによりますと、クライアントは190か国以上、約60万社を超え、アメリカン・エキスプレス、BMW、エールフランス、トヨタ、IKEAといった世界の有名ブランドが名を連ねています。セキュリティリサーチャーは、この攻撃をSmoothOperatorと呼んでいます。
2023年3月3日以降にリリースされたバージョンのソフトウェアにトロイの木馬が仕込まれているということです。これに該当するビルドは、Windows版の18.12.407と18.12.416、macOS版の18.11.1213以降です。3CXによりますと、悪意のあるコードは、開発チームが使用した複数のオープンソースコンポーネント(具体的な名前は不明)がトロイの木馬化されていたことからプログラムに仕込まれたとのことです。
トロイの木馬化された3CXソフトウェア経由の攻撃
BleepingComputerは、さまざまな企業のリサーチャーの話に基づき、トロイの木馬化されたWindowsクライアント経由の攻撃メカニズムを次のように説明しています。
- ユーザーが企業の公式ウェブサイトからインストールパッケージをダウンロードして実行するか、インストール済みのプログラムのアップデートを受け取ります。
- インストールすると、トロイの木馬化されたプログラムによって悪意のあるライブラリが複数作成されます。これが攻撃の次の段階で使用されます。
- マルウェアは次に、GitHubでホストされている、複数行のデータを含む.icoファイルをダウンロードします。
- これらのデータが最終的な悪意のあるペイロードのダウンロードに使用され、これがエンドユーザーの攻撃に使用されます。
macOSユーザーを攻撃するメカニズムは少し異なります。詳細については、非営利団体Objective-Seeのウェブサイトをご覧ください。
ハッカーの狙いは?
ダウンロードされたマルウェアは、システムについての情報を窃取できるほか、Chrome、Edge、Brave、およびFirefoxブラウザーから認証情報などのデータも窃取できます。さらに攻撃者は、インタラクティブなコマンドシェルを配備できます。これを使えば、理論上、被害者のパソコンを掌握することができます。
カスペルスキーの専門家は、攻撃者が最終的なペイロードの一部として使用したバックドアを調査しました。その分析によると、Gopuramと呼ばれるこのバックドアは、主に仮想通貨関連企業を狙った攻撃で利用されていたことが判明しました。さらに専門家は、複数の他の手がかりから、攻撃の背後にLazarusグループがいる可能性が高いと述べています。Gopuramバックドアの詳細と侵害の兆候については、Securelistブログの記事をご覧ください。
この攻撃が特に危険である理由
BleepingComputerによりますと、トロイの木馬化されたバージョンのプログラムは、Sectigoによって発行され、DigiCertによってタイプスタンプが設定された正規の3CX Ltd.証明書で署名されています。これは3CXプログラムの以前のバージョンで使用されていた証明書と同じです。
さらに、Objective-Seeによりますと、macOS版のマルウェアは、有効な証明書で署名されているだけでなく、Appleによる公証も受けていました。これは、比較的新しいバージョンのmacOSでもアプリケーションの実行が許可されることを意味します。
攻撃を防ぐには
自社で当該製品を使用しているかどうか確認しましょう。使用している場合は、アップデートがリリースされるまで、VoIPウェブクライアントを使用するトロイの木馬化されたバージョンのプログラムを至急アンインストールしましょう。
また、自社のパソコンが乗っ取られていないことを確認するために、インシデントの徹底調査を行うこともお勧めします。一般的に、企業のネットワークで起きていることを管理し、不正な挙動をタイムリーに検知するためには、MDR(Managed Detection and Response)クラスのサービスを使用することをお勧めします。
