コンテンツにスキップ
サプライチェーン攻撃
SolarWindsを覚えていますか?同様の攻撃が今、新たなソフトウェアサプライヤーに対して起こっています。
クレジット: ゲッティイメージズ
クレジット: ゲッティイメージズ
複数のセキュリティ企業の研究者らによると、北朝鮮政府のために活動するハッカーらが、広く使用されている音声・ビデオ通話デスクトップクライアント「3CX」のWindowsおよびmacOSユーザーに対し、大規模なサプライチェーン攻撃を実行したという。
攻撃者は、まだ明らかにされていない手段を用いて、VoIPとPBXサービスを提供するアプリのWindows版とmacOS版を配布することに成功しました。このアプリは、アメリカン・エキスプレス、メルセデス・ベンツ、プライス・ウォーターハウス・クーパーなどを含む「60万人以上の顧客」にVoIPとPBXサービスを提供しています。攻撃者は、何らかの方法で、同社の公式署名鍵を使用してデジタル署名された3CXアプリ内にマルウェアを隠す能力を獲得しました。macOSセキュリティ専門家のパトリック・ウォードル氏によると、macOS版はAppleによって認証されており、同社がアプリを解析した結果、悪意のある機能は検出されなかったことを示しています。
2022年から制作中
「これは典型的なサプライチェーン攻撃であり、組織と外部関係者間の信頼関係を悪用することを目的としています」と、チェック・ポイント・ソフトウェアの脅威インテリジェンス&リサーチ担当ディレクター、ロテム・フィンケルスタイン氏はメールで述べています。「これには、ベンダーとの提携や、ほとんどの企業が何らかの形で依存しているサードパーティ製ソフトウェアの使用が含まれます。今回のインシデントは、取引相手を精査するデューデリジェンス(適切な注意義務)を徹底することがいかに重要であるかを改めて認識させてくれます。」
セキュリティ企業クラウドストライクは、攻撃に使用されたインフラと暗号鍵は、北朝鮮政府と連携する脅威アクターを追跡する名前であるラビリンス・チョルリマが3月7日に実行した攻撃で確認されたものと一致していると述べた。
この攻撃は水曜日の夜遅くに発覚しました。複数のセキュリティ企業の製品が、3CXデスクトップアプリの正当に署名されたバイナリから悪意のあるアクティビティを検知し始めたのです。この高度な攻撃の準備は、遅くとも2022年2月には開始されていました。脅威アクターは、感染デバイスとの通信に使用する広範なドメインを登録していました。3月22日までに、セキュリティ企業Sentinel Oneは、3CXDesktopAppの挙動検出が急増していることを確認しました。同日、3CXユーザーは、エンドポイントセキュリティアプリによる3CXDesktopAppの誤検知の可能性について、オンラインスレッドで議論を開始しました。
3CXの最高情報セキュリティ責任者(CISO)であるピエール・ジュールダン氏は、Electron Windowsアプリ(バージョン番号18.12.407および18.12.416)とElectron Macアプリ(バージョン番号18.11.1213、18.12.402、18.12.407、18.12.416)に「セキュリティ上の問題」があることを確認しました。同氏によると、これらのペイロードは、ソフトウェア開発者が開発するアプリの変更を追跡するために使用するシステムであるGitを介してコンパイルされたバンドルライブラリに挿入されていました。感染したマシンが接続する攻撃者が管理するサーバーの多くは既にシャットダウンされているとのことです。
井戸に毒を入れる
このインシデントは、2020年12月にSolarWindsネットワーク管理ソフトウェアのユーザーを狙ったサプライチェーン攻撃を彷彿とさせます。米国政府と複数のセキュリティ研究者は、この攻撃はロシア連邦保安庁(FSB)傘下とみられるハッカー集団の追跡名の一つである「Cozy Bear」によるものだとしています。
3CXの場合と同様に、SolarWindsのハッカーたちは、約18,000人の顧客にデジタル署名付きのバックドア付きアップデートを配布することに成功しました。そのうち約100人が、バックドアを利用して第二段階のペイロードをインストールする追加ハッキングを受けました。被害者には、Malwarebytes、FireEye、Microsoftといったテクノロジー企業に加え、司法省、商務省、財務省、エネルギー省、国土安全保障省を含む10の米国政府機関、そしてシンクタンクやNGOが含まれ、このハッキングキャンペーンは米国近代史における最悪のものの一つとなりました。
シマンテックの予備分析によると、WindowsおよびMac向けの侵害されたインストーラーには、通常の機能をすべて備えたクリーンなバージョンのアプリが含まれているため、エンドユーザーが不正行為を疑うことは不可能です。ソフォスによると、攻撃者はDLLサイドローディングと呼ばれる手法を用いて、悪意のある機能を追加するペイロードを追加したとのことです。
ペイロードは暗号化されており、検出や分析を阻止するための他の防御機能も備えていた。CrowdStrikeによると、感染したマシンは攻撃者が管理するサーバーにビーコンを送信し、未知の基準に応じて特定の標的に第二段階のペイロードを展開する。いくつかのケースでは、攻撃者は感染したマシン上で「キーボード操作」を実行した。
CheckPointの研究者によると、トロイの木馬化されたWindows版の場合、攻撃者は3CXの鍵で署名されたMSI実行ファイルを使用して、ffmmpeg.dllという悪意のあるファイルをロードしました。このファイルは、d3dcompiler_47.dllという別のファイルから暗号化されたデータを読み取るように改変されていました。このd3dcompiler_47.dllというファイルは、攻撃者がGitHubアーカイブに保存したURLの暗号化されたリストをプルダウンしました。そして、DLLファイルはこのリストを使用して、URLの1つから最終的なペイロードをダウンロードし、実行しました。
「GitHubとの通信に関する重要な点は、GitHubへのリクエストが実際に発生する前に、コード内に1週間の遅延が設定されていることです」とCheckPointの研究者は記している。「このステップが最終的に完了すると、最終的なペイロードがこれらのURLの1つからダウンロードされ、実行されます。」
CheckPoint は、Windows 感染チェーンの次の図を示しました。
クレジット: チェックポイント
クレジット: チェックポイント
3CX をご利用の組織は、ネットワーク インフラストラクチャの分析を直ちに開始し、侵害の兆候を探す必要があります。CrowdStrike は、調査が完了するまでの間、すべての 3CX ユーザーに対し、少なくとも一時的にソフトウェアの使用を停止することを推奨しています。Sophos は、ネットワークが脅威アクターのインフラストラクチャと通信したかどうかを判定するスクリプトを提供しています。Sophos をはじめとする企業は、3CX ユーザーが利用できるドメイン、ファイルハッシュ、その他の侵害指標も公開しています。
リスト画像: Getty Images
ダン・グッドインはArs Technicaのシニアセキュリティエディターとして、マルウェア、コンピュータースパイ、ボットネット、ハードウェアハッキング、暗号化、パスワードなどの記事を担当しています。余暇にはガーデニング、料理、インディーズ音楽シーンの追及を楽しんでいます。サンフランシスコを拠点としています。MastodonのこちらとBlueskyのこちらでフォローしてください。SignalのDanArs.82までご連絡ください。
28件のコメント
