ソフトウェアサプライチェーン攻撃、 ハッカーが広く使用されているアプリケーションを改ざんして、独自のコードを数千または数百万のマシンにプッシュすることは、陰湿であり、その影響の範囲が潜在的に巨大な惨劇になっています. しかし、北朝鮮政府に代わって活動していると思われるハッカーが、3CX として知られる一般的な VoIP アプリケーションのインストーラーにコードを隠した最新の大規模なソフトウェア サプライ チェーン攻撃は、これまでのところ平凡な目的を持っていたようです。一握りの暗号通貨会社に侵入します。
ロシアのサイバーセキュリティ企業であるカスペルスキーの研究者は本日、先週展開された 3CX ソフトウェアサプライチェーン攻撃の犠牲者の少なくとも一部として、少数の暗号通貨に焦点を当てた企業を特定したことを明らかにしました. Kaspersky は、被害を受けた企業の名前を明らかにすることを拒否しましたが、「西アジア」に拠点を置いていることを指摘しています。
ベンダーによると、セキュリティ企業の CrowdStrike と SentinelOne は先週、世界中の 600,000 の組織で使用されている 3CX インストーラー ソフトウェアを侵害した北朝鮮のハッカーに操作を突き止めました。 SentinelOne が「Smooth Operator」と名付けたその攻撃の潜在的に大規模な範囲にもかかわらず、カスペルスキーは、ハッカーが破損したソフトウェアに感染した被害者をくまなく調べて、最終的に 10 台未満のマシンを標的にしたことを発見しました。彼らは「外科的精度」を備えた暗号通貨会社に焦点を当てているように見えた.
Kaspersky の GReAT セキュリティ アナリスト チームの研究者である Georgy Kucherin は次のように述べています。 . 「仮想通貨企業は、標的になる可能性が高いため、この攻撃について特に懸念する必要があり、さらなる侵害がないかシステムをスキャンする必要があります。」
Kaspersky は、3CX サプライ チェーンのハッカーが攻撃を利用して、最終的に Gopuram として知られる汎用性の高いバックドア プログラムを被害者のマシンに仕込んだという発見に基づいて、この結論を下しました。 」 Kaspersky は、このマルウェアの出現も北朝鮮の指紋を表していると述べています。Gopuram が、北朝鮮のハッカーに関連する AppleJeus として知られる別のマルウェアと同じネットワークで以前に使用されたことを確認しています。 また、Gopuram が AppleJeus と同じコマンド アンド コントロール インフラストラクチャに接続することも以前に確認されており、Gopuram が以前に仮想通貨企業を標的にするために使用されたことも確認されています。 これらすべては、3CX 攻撃が北朝鮮のハッカーによって実行されたことを示唆するだけでなく、暗号通貨会社から盗むために暗号通貨会社に侵入することを意図していた可能性があることを示唆しています。金正恩政権。
国家が支援する洗練されたハッカーがソフトウェア サプライ チェーンを悪用して何千もの組織のネットワークにアクセスし、標的を少数の被害者に絞り込むことは、繰り返し行われるテーマになっています。 たとえば、2020 年の悪名高い Solar Winds スパイ キャンペーンでは、ロシアのハッカーが IT 監視ソフトウェア Orion を侵害して、約 18,000 人の被害者に悪意のある更新プログラムをプッシュしましたが、データを盗んだのはそのうちの数十人に過ぎないようです。 CCleaner ソフトウェアの以前のサプライ チェーン侵害では、Barium または WickedPanda として知られる中国のハッカー グループが 700,000 台もの PC を侵害しましたが、同様に比較的少数のテック企業を標的にすることを選択しました。