複数のセキュリティ会社が警鐘を鳴らしている トロイの木馬化されたバージョンの 3CX を使用したアクティブなサプライ チェーン攻撃 広く使用されている音声およびビデオ通話クライアント 下流の顧客をターゲットにします。
3CX は、American Express、BMW、McDonald’s、英国の国民保健サービスなど、世界中の 600,000 以上の組織で使用されているソフトウェア ベースの電話システムの開発者です。 同社は、世界中で毎日1,200万人以上のユーザーがいると主張しています.
サイバーセキュリティ企業である CrowdStrike、Sophos、および SentinelOne の研究者は水曜日に、企業ネットワーク内にインフォスティーラー マルウェアをインストールするためのトロイの木馬化された 3CXDesktopApp インストーラーの配布を含む、SolarWinds スタイルの攻撃 (SentinelOne によって「Smooth Operator」と呼ばれる) の詳細を示すブログ投稿を公開しました。
このマルウェアは、システム情報を収集し、データと保存されている資格情報を盗むことができます。 グーグルクローム、Microsoft Edge、Brave、および Firefox のユーザー プロファイル。 CrowdStrike によると、他に観測された悪意のあるアクティビティには、アクターが制御するインフラストラクチャへのビーコン、第 2 段階のペイロードの展開、および少数のケースでは「キーボード操作によるアクティビティ」が含まれます。
セキュリティ研究者は、攻撃者が侵害された VoIP アプリの Windows バージョンと macOS バージョンの両方を標的にしていると報告しています。 現時点では、Linux、iOS、および Android バージョンは影響を受けていないようです。
SentinelOne の研究者は、3 月 22 日に最初に悪意のある活動の兆候を確認し、すぐに異常を調査したと述べました。その結果、一部の組織が、有効なデジタル証明書で署名された 3CX デスクトップ アプリのトロイの木馬バージョンをインストールしようとしていることが判明しました。 Apple のセキュリティ専門家、Patrick Wardle も 見つかった これは、Apple がマルウェアを公証したことを意味します。
3CX CISO ピエール・ジョルダン 言った 木曜日に、同社は Windows および MacBook アプリケーションに影響を与える「セキュリティの問題」を認識していると発表しました。
Jourdan 氏は、これは「高度な持続的脅威による標的型攻撃であり、おそらく国家が支援する」ハッカーであると思われると述べています。 CrowdStrike は、悪名高い Lazarus Group のサブグループである北朝鮮の攻撃者 Labyrinth Chollima がサプライ チェーン攻撃の背後にいることを示唆しています。
回避策として、3CX 社はアプリをアンインストールして再度インストールするか、代わりに PWA クライアントを使用するよう顧客に促しています。 「それまでの間、私たちは起こったことについて心から謝罪し、この過ちを補うために全力を尽くします」とジョーダンは言いました.
3CX サプライ チェーン攻撃については、侵害された可能性のある組織の数など、まだわかっていないことがたくさんあります。 インターネットに接続されたデバイスをマッピングするサイトである Shodan.io によると、現在、240,000 以上の 3CX 電話管理システムが公開されています。