North Korean 3CX Hackers Also Hit Critical Infrastructure Orgs: Symantec
2023/04/21 SecurityWeek — 3CX を標的としたサプライチェーン攻撃を仕掛けた、北朝鮮のハッキング・グループが、エネルギー分野の主要インフラ組織2社と、金融取引に関わる他の企業2社にも侵入していたことが、Symantec の新しい調査により判明した。Trading Technologies のトレーディング・ソフトウェアである、X_Trader インストーラから始まる一連の攻撃は、3CX 以外の企業にも被害を及ぼしており、下流への将来的な影響も懸念されている。Symantec の脅威情報部門は、米国と欧州にある2つの主要インフラ組織が大きな懸念材料になると、新たに公開した文書で警告している。
Symantec は、「X_Trader の開発元である Trading Technologies は、エネルギー先物を含む先物取引を促進している。そのため、X_Trader のサプライチェーン攻撃は金銭的な動機によるものと思われる。しかし、重要なインフラを狙った攻撃にも注意すべきだ」と指摘している。
同社は、「北朝鮮が支援する脅威アクターは、スパイ行為と金銭的な動機による攻撃の両方を行うことが知られている。金銭的動機のキャンペーンで侵入された、戦略上で有用な組織が、さらなる搾取の対象となる可能性は否定できない」と述べている。
Symantec は、被害組織を明らかにしていないが、防御者が感染の兆候を探すのに役立つ IOC (indicator of compromise) や、その他のデータを公開した。
同社は、「別のサプライチェーン攻撃により、3CX が侵入されたことが判明したことで、さらに多くの組織が、このキャンペーンの影響を受ける可能性が高くなった。これらの侵害の背後にいる攻撃者は、明らかにソフトウェア・サプライチェーン攻撃の成功パターンを持っており、さらなる類似の攻撃を排除することは不可能だ」と付け加えている。
すでに報じられているように、このハッキングは、3CX の従業員が侵害されたソフトウェアを、別の会社からダウンロードしたことから始まった、連鎖的なサプライチェーン攻撃の初めての例として認識されている。
3CX の情報漏えいの調査を支援した、Mandiant が指摘しているのは、3CX の従業員がトロイの木馬化した Trading Technologies X_Trader のインストーラを、個人のコンピュータにダウンロードした後に、同社のシステムへの侵入が発生したという点だ。
X_Trader アプリケーションは、2020年にサービスを終了しているが、いまでも、同社の Web サイトから取得できる。また、3CX の従業員が 2022年のある時期にダウンロードした悪意のバージョンは、2022年10月まで有効な証明書で署名されていた。
X_Trader を介して配信される VeiledSignal というマルウェアは、3CX 社員のデバイスの管理者レベルでのアクセスを、攻撃者に対して提供するものだ。そして攻撃者は、従業員が所有する企業認証情報を取得し、3CX のシステムへの侵入に成功した。
3CX サプライチェーン攻撃ですが、この記事で3本目となります。そして、Trading Technologies のソフトウェアである、X_Trader インストーラが起点だと公表されるに至りました。2020年にサービスが終了している、X_Trader を侵入経路にするという北朝鮮ハッカーの目の付け所に驚きます。よろしければ、以下の関連記事を、ご参照ください。
2023/04/12:3CX 攻撃:Lazarus が CVE-2023-29059 を悪用
2023/04/03:3CX 攻撃:Win/Mac アプリから暗号通貨が狙われる
IoT OT Security News 
You must be logged in to post a comment.