Cryptocurrency companies backdoored in 3CX supply chain attack
2023/04/03 BleepingComputer — 3CX のサプライチェーン攻撃の影響を受けた被害者の一部が、Gopuramマルウェアによりシステムにバックドアを仕掛けられた。この悪意のペイロードを流し込んだ脅威アクターは、暗号通貨企業を主たるターゲットにしているという。Lazarus Groupとして追跡されている北朝鮮の脅威アクターによる、大規模なサプライチェーン攻撃に被害に遭った VoIP 通信会社 3CX は、同社の顧客が使用する Windows/macOS のデスクトップ・アプリを、トロイの木馬化させてしまった。
この攻撃に成功した攻撃者は、Windows デスクトップ・アプリで使用される2つのDLL を悪意のダウンローダーに置き換え、トロイの木馬型の情報スティーラー・マルウェアをインストールしたようだ。
その後に Kaspersky は、Lazarus ハッキング・グループが以前から使用していた、Gopuram バックドアがセカンド・ステージのペイロードとして、2020年から暗号通貨企業への攻撃に用いられ、今回の 3CX 顧客のシステムにも展開されていたことを発見した。
Gopuram はモジュール式のバックドアであり、そのオペレーターに対して多種多様な機能を提供している。具体的に言うと、Windows レジストリやサービスの操作/検出回避のためのファイルタイムストンピング/実行中プロセスへのペイロードの注入/オープンソース Kernel Driver Utility を介した署名されていない Windows ドライバーのロード/感染させたデバイスの net コマンドを介したユーザー管理などが挙げられる。
Kaspersky の研究者たちは、「新たな Gopuram 感染が発見されたことで、3CX キャンペーンを Lazarus による脅威であると、かなりの確度で判断できた。我々は、Gopuram が攻撃チェーンの主要なインプラントであり、最終的なペイロードであると考えている」と述べている。
Gopuram の感染数が、2023年3月に世界中で増加している。そして、今回の攻撃者は、3CX サプライチェーン攻撃の影響を受けた暗号通貨企業のシステム上に、悪意のライブラリ “wlbsctrl.dll” と、暗号化のためのシェルコード・ペイロード “.TxR.0.regtrans-MS” をドロップした。
Kaspersky の研究者たちは、攻撃者が Gopuram を正確に使用し、10台未満の感染したマシンにのみ展開したことを発見した。つまり、攻撃者の動機が経済的なものであり、対価を得やすい企業たけにフォーカスしている可能性を示唆している。
同社の専門家は、「3CX ソフトウェアは世界中に展開されているが、我々のテレメトリーで測定された被害者を分析すると、ブラジル/ドイツ/イタリア/フランスなどが、最も高い感染率を示している。このバックドアが感染しているのは、10台未満のマシンだけであるため、攻撃者は高い精度で Gopuram を使用したことが分かる。さらに、攻撃者が暗号通貨企業に特定の関心を持っていることも確認された」と付け加えている。
PWA Web クライアントへの切り替えが推奨されている
3CX が確認したのは、Electron ベースの 3CXDesktopApp デスクトップ・クライアントが侵害され、そこにマルウェアが展開されたことだった。この攻撃のニュースが表面化したのは 3月29日だが、1 週間以上も前から、複数の顧客がアラートを報告していた。つまり、このソフトウェアは悪意のものとして、セキュリティ・ソフトウェアによりタグ付けされていたのだ。
現時点において同社は、すべての Windows/macOS システムから、Electron デスクトップ・アプリをアンインストールし、PWA (Progressive Web Application) Web クライアント・アプリに切り替えるよう、顧客に促している。
# ネットワーク上で大量の Electron アプリをアンインストールするスクリプトはコチラ
セキュリティ研究者のグループは、2023年3月のサプライチェーン攻撃の影響を受けた可能性のある、特定の 3CX IP アドレスを検出するための、Webベースのツールを開発/公開した。この開発チームは、「潜在的な影響を受けた当事者の特定は、悪意のインフラと相互作用していた IP アドレスのリストに基づいている」と説明している。
このインシデント (現在は CVE-2023-29059 として追跡) が公開されてから数日後に、BleepingComputer が報告したように、背後にいる攻撃者は 10年前の Windows の脆弱性 (CVE-2013-3900) を悪用した。その理由は、追加のペイロードをドロップするために使用された、悪意のある DLL が正当に署名されているように見せるためである。
同じ脆弱性を悪用することで、ユーザーの認証情報や個人情報を盗み出す、Zloader バンキング・マルウェアも Windows コンピュータに感染している。
3CX によると、同社の 3CX Phone System は、毎日 1,200万人以上のユーザーが利用し、世界の 60万社以上の企業に利用されているとのことだ。その顧客リストには、American Express/Coca-Cola/McDonald’s/Air France/IKEA/UK National Health Service などに加えて、BMW/Honda/Toyota/Mercedes-Benz などの自動車メーカーも名を連ねている。
3CX という VoIP ですが、世界の大手企業が利用しているのですね。この攻撃については、「Windows デスクトップ・アプリで使用される2つのDLL を、悪意のダウンローダーに置き換え、トロイの木馬型の情報スティーラーをインストールしたようだ」と解説されているので、最近の流行りである DLL サイドローディングに分類されるのかもしれません。よろしければ、以下の関連記事も、ご参照ください。
2023/03/20:CatB ランサムウェア:DLL 検索順序ハイジャック
2023/03/07:SYS01stealer という情報スティーラーを発見
2022/07/24:QBot:DLL サイドローディングで仕掛ける
2022/05/24:Trend Micro の DLL ハイジャック脆弱性
なお、Electron 関連の記事に関しては、以下を ご参照ください。
2022/09/14:Teams に深刻な Electron ベースの脆弱性
2022/08/17:Electron ベース・アプリ 18種類に脆弱性
IoT OT Security News 
You must be logged in to post a comment.