North Korean Hackers Uncovered as Mastermind in 3CX Supply Chain Attack
2023/04/12 TheHackerNews — 企業向け通信サービス・プロバイダーである 3CX は、同社の Windows/macOS 向けデスクトップアプリを標的としたサプライチェーン攻撃が、北朝鮮に関連のある脅威アクターによるものだと発表した。この調査結果は、先月末に侵入が明るみに出た後に、Google 傘下の Mandiant が実施した中間評価の結果によるものだ。脅威情報およびインシデント対応チームは、UNC4736 という未分類の呼称で、この活動を追跡しているという。
サイバーセキュリティ企業 CrowdStrikeは、戦術的な重複を分析した結果として、この攻撃を Labyrinth Chollima と名付けられた、Lazarus のサブグループによるものとしている。
複数のセキュリティ・ベンダーの分析によると、暗号会社を狙った選択的な攻撃チェーンにおいて、DLL のサイドローディング技術が使用され、ICONIC Stealer 情報スティラーのロードと、Gopuram というセカンド・ステージへの続行が含まれていたという。
Mandiant のフォレンジック調査により、TAXHAUL というコードネームのマルウェアを、3CX のシステムに感染していたことが判明した。このマルウェアは、COLDCAT というラベルのついた、複合ダウンローダーを含むシェルコードを解読して、ロードするように設計されているという。
3CX は、「Windows 環境で攻撃者は、TAXHAUL マルウェアの持続性を実現するために、DLL のサイドローディングを使用していた。また、この永続化メカニズムにより、システム起動時におけるマルウェア・ロードが保証され、感染したシステムへのインターネットを介したリモートアクセスが、攻撃者に対して保証される」と述べている。
さらに同社は、「悪意の DLL (wlbsctrl.dll) は、正規のシステムプロセスである svchost.exe を通じて、Windows IKE and AuthIP IPsec Keying Modules (IKEEXT) サービスによりロードされた」と述べている。
その一方で、攻撃対象となった macOS システムは、SIMPLESEA と呼ばれる別のマルウェア株 (HTTP 経由で通信して、シェルコマンドの実行/ファイルの転送/設定の更新をなど行う C ベースのマルウェア) を使用して、バックドア化されていたと言われている。
3CX 環境で検出されたマルウェア株は、少なくとも4つの C2 サーバ (azureonlinecloud[.]com/akamaicontainer[.]com/journalide[.]org/msboxonline[.]com ) と通信することが確認された。
先週のフォーラムへの投稿で、3CX の CEO である Nick Galea は、「当社は、マルウェアが実際に起動した、一握りのケースしか認識していない。将来の攻撃から保護するための、ポリシー/慣行/技術の強化に取り組んでいる」と述べている。そして、この投稿の後に、アップデートされたアプリが提供されている。
現時点においては、脅威アクターが 3CX のネットワークに侵入した方法は判明していない。また、既知/未知の脆弱性についても、悪用のチェーンなどは不明である。このサプライチェーンの侵害は、CVE-2023-29059 (CVSS:7.8) という識別名で追跡されている。
このインシデントについては、2023/04/03 の「3CX VoIP にサプライチェーン攻撃:Win/Mac アプリがトロイの木馬化され暗号通貨が狙われる」が、第一報としてポストされています。そのときにも、北朝鮮の Lazarus の関与が指摘されていましたが、少しだけ分析が進んだようです。よろしければ、以下の関連記事も、ご参照ください。
2023/02/20:Økokrim:北朝鮮の Lazarus から $5.9M を奪還
2023/01/24:Ethereum $100M が消えた:Lazarus と APT38 の犯行
2022/10/01:Dell ドライバの脆弱性:Lazarus が悪用
IoT OT Security News 
You must be logged in to post a comment.