3CX がハッキングされた現在進行中のサプライ チェーン攻撃では、3CX Voice Over Internet Protocol (VOIP) デスクトップ クライアントのデジタル署名され、トロイの木馬化された亜種を使用して、同社の顧客を標的にしています。

3CX 電話システムは、世界中で 600,000 を超える企業で使用されており、1 日あたり 1,200 万人を超えるユーザーが利用しています。 3CX は VoIP IPBX ソフトウェア開発会社です。

American Express、Coca-Cola、McDonald’s、BMW、Honda、Air France、Toyota、Mercedes-Benz、IKEA、および英国の National Health Service を含む多くの有名な企業や機関が、同社のクライアントです (アラートを発行した人)。木曜日に)。

You Might Also Like
X アプリがソーシャル メディアの状況を再定義する中、Twitter X ロゴが注目を集める
X アプリがソーシャル メディアの状況を再定義する中、Twitter X ロゴが注目を集める
オプラ、サム・アルトマン、ビル・ゲイツによる AI スペシャルのハイライト
オプラ、サム・アルトマン、ビル・ゲイツによる AI スペシャルのハイライト
iPhone 13Proには120HzのOLEDスクリーンが付属している可能性があります
iPhone 13Proには120HzのOLEDスクリーンが付属している可能性があります

Sophos と CrowdStrike のセキュリティ研究者は、攻撃者が Windows と macOS を実行している 3CX ソフトフォン ソフトウェア ユーザーを攻撃対象としていると報告しています。

CrowdStrike の脅威インテリジェンス チームは、「悪意のある活動には、攻撃者が制御するインフラストラクチャへのビーコン、第 2 段階のペイロードの展開、および少数のケースではキーボード操作による活動が含まれます」と述べています。

ソフォスのマネージド ディテクション アンド レスポンス サービスも、「これまでに観察された最も一般的なエクスプロイト後のアクティビティは、対話型コマンド シェルの生成です」と警告しています。

ソフォスの専門家は、「この帰属を高い信頼性で検証することはできない」と主張していますが、CrowdStrike は、北朝鮮政府が支援する Labyrinth Collima ハッキング組織によって攻撃が実行されたと考えています。 CrowdStrike の主張は、まだ確認されていませんが、多くの 3CX ユーザーを悩ませています。 最近、このような心配なハッキングのニュースが火花を散らしています: Linus Tech Tips が YouTube でハッキングされました

Labyrinth Collima の動作は、Kaspersky の Lazarus Group、Dragos の Covellite、Mandiant の UNC4034、Microsoft の Zinc、Secureworks の Nickel Academy など、他の攻撃者の動作と重複することが知られています。

サプライ チェーン攻撃で 3CX はどのようにハッキングされましたか?

SentinelOne と Sophos は、先週木曜日の夜に発表されたレポートで、トロイの木馬化された 3CX デスクトップ プログラムがサプライ チェーン攻撃の一環としてダウンロードされていることも明らかにしました。

SentinelOne は、このサプライ チェーンへの攻撃を「SmoothOperator」と呼んでいます。 これは、MSI インストーラーが 3CX Web サイトからダウンロードされるか、既にセットアップされているデスクトップ アプリケーションに更新が発行されたときに開始されます。

サプライ チェーン攻撃でハッキングされた 3CX
サプライ チェーン攻撃でハッキングされた 3CX: MSI またはアップデートのインストール時に、悪意のある DLL ファイルが抽出される

悪意のある DLL ファイル ffmpeg.dll [VirusTotal] および d3dcompiler 47.dll [VirusTotal] MSI またはアップデートのインストール時に抽出され、攻撃の次の段階を実行するために利用されます。

  GTA サンアンドレアス マーセナリーズ: トレーラー、武器、イベント

悪意のある ffmpeg.dll DLL がサイドロードされ、d3dcompiler 47.dll から暗号化されたペイロードを抽出して復号化するために使用されますが、ソフォスは 3CXDesktopApp.exe 実行可能ファイルに悪意はないと主張しています。

画像の末尾に追加された Base64 でエンコードされたテキストを含む GitHub に保存されているアイコン ファイルをダウンロードするために、d3dcompiler 47.dll からのこの暗号化されたシェルコードが実行されます。

これらのアイコンは GitHub リポジトリに保持されており、最初のアイコンが 2022 年 12 月 7 日に投稿されたことを示しています。

SentinelOne によると、マルウェアはこれらの Base64 文字列を使用して、感染したデバイスから情報を盗む最終的なペイロード (未知の DLL) をダウンロードします。

Chrome、Edge、Brave、Firefox のユーザー プロファイルには、システム情報だけでなく、この新しいマルウェアが盗むことができるデータと資格情報が含まれている可能性があります。

「現時点では、Mac インストーラーが同様にトロイの木馬化されていることを確認できません。 進行中の調査には、攻撃のステージングにも使用できる Chrome 拡張機能などの追加のアプリケーションが含まれています」と SentinelOne は述べています。

一方、3CX の CEO である Nick Galea は、木曜日の朝のフォーラムへの投稿で、マルウェアが 3CX Desktop プログラムに挿入されたと述べました。 Galea は、デスクトップ アプリケーションをアンインストールし、結果として PWA クライアントに切り替えることをすべてのユーザーにアドバイスしています。

「多くの人が気付いているように、3CX DesktopApp にはマルウェアが含まれています。 これは、アップデート 7 を実行しているお客様の Windows Electron クライアントに影響します。昨日の夜に報告されており、今後数時間以内にリリースする DesktopApp のアップデートに取り組んでいます」と Galea は 3CX フォーラムで共有しました。

Source: 1,200 万人のユーザーを危険にさらすサプライ チェーン攻撃で 3CX がハッキングされた