3CXとは【用語集詳細】
3CXは、世界190か国で60万以上の顧客を持つIP電話交換システムです。組織や企業内のVoIP電話交換をコントロールするPBX(Private Branch Exchange)として、多くのグローバル企業をはじめとして大きなシェアを有しています。
3CXのIP電話システムはWindowsやLinuxといったOSの他、iPhoneやAndroidに対応したクライアントも利用可能です。また、WhatsAppやSMS、Facebook、CRMとのインテグレーション機能が備わっています。
サプライチェーン攻撃の標的
2023年3月、複数のセキュリティニュース(BleepingComputer、The HackerNews、SecurityWeek、CyberScoop等)が、3CXのWindowsおよびmacOS向けデスクトップ・クライアントに対する進行中のサプライチェーン攻撃を報じました。
正当なデジタル署名を受けた特定バージョンのクライアントアプリがトロイの木馬機能を潜伏させ、侵害したマシンにおいてペイロードの配送やC2サーバ、攻撃者保有GitHubリポジトリとの通信等を実行していることを、Sophos社、SentinelOne社およびCrowdStrike社が公表しています。
2022年2月から進行中の「SmoothOperator」と称されるこの攻撃では、3CX社のWebサイトからクライアントアプリのインストールあるいはアップデートを行った際に、悪意あるDLLがインストーラから展開されると分析されています(DLLサイドローディング)。最終的に配送されるペイロードは、システムやブラウザから情報を窃取するインフォスティーラーです。
攻撃者は、一連の活動においてWindowsの既知の脆弱性(CVE-2013-3900)を悪用します。
セキュリティベンダー等の調査によれば、この攻撃は3CX社における開発パイプラインの過程あるいは上流工程が侵害されたことで引き起こされたと想定されています。
3CXによるサプライチェーン攻撃を受けた組織の内、複数の仮想通貨企業がGopuramマルウェアなるバックドアの侵害を受けていることが判明しました。
またインシデント調査を行ったMandiant社は、攻撃の過程でTAXHAULおよびCOLDCAT(Windows用)、およびSIMPLESEA(MAC用)マルウェアが利用されたことを明らかにしました。
その後の調査によって、別のソフトウェア・インストーラを改ざんしたLinuxおよびmacOS用マルウェアに3CX従業員が感染し、そこから一連のソフトウェア・サプライチェーン攻撃が始まったことが判明しました。
CrowdStrike社は、この攻撃について北朝鮮APT Lazarusの下位グループLABYRINTH CHOLLIMAではないかと推測しています。
セキュリティベンダーによる調査や報道を受けて、米CISAは攻撃状況の共有を行いました。
3CXアプリのインストーラに注入されたインフォスティーラー・マルウェアICONICSTEALERについて、CISAはマルウェア解析レポートを公開しています。