大規模なサプライチェーン攻撃
情報セキュリティ企業カスペルスキー(Kaspersky)社は3日、3月末に報告された大規模なソフトウェアサプライチェーン攻撃を独自に分析した結果、少数の暗号資産(仮想通貨)企業がターゲットにされ、バックドアが仕込まれていることを発見したと発表した。
3月29日、ビジネスコミュニケーションのソフトウェア開発を行う3CX社のVoIP(インターネット回線を使用した音声通話)デスクトップアプリで、悪質な活動が確認されたと複数のサイバーセキュリティ企業が報告。特定のバージョン(Windows版とMacOS版)のインストーラで、コードが改ざんされ「トロイの木馬化」しており、情報を窃取するマルウェアに感染する可能性が指摘された。
3CXによると、同社のVoIP電話システムは、1,200万人以上のでデイリーユーザーを抱え、世界の60万以上の企業で製品が利用されている。その顧客リストには、トヨタやホンダ、三菱などの自動車メーカーをはじめ、アメリカン・エキスプレス、コカコーラ、マクドナルド、エールフランス、英国の国民保健サービスなど多くの著名企業や組織が含まれている。
カスペルスキーは、感染したインストーラファイルに含まれる動的リンクライブラリ(DLL)の分析から、この攻撃の背後には、「Gopuram」と名付けられたマルウェアがあるとの結論に至った。
同社は2020年、東南アジアの仮想通貨企業へのハッキングを調査していた際、被害者のマシン上にGopuramと、北朝鮮のハッカー集団ラザルスが用いるバックドア「AppleJeus」が共存しているのを発見して以来、Gopuramを追跡してきたという。
今回のサプライチェーン攻撃に関係したDDLは、Gopuramのデプロイに使用されていたものだという。Gopuramへの感染数は、2023年3月から増加しはじめた。
カスペルスキーはGopuramとAppleJeusの関係性などを踏まえ、3CXを狙った攻撃はラザルスによるものであると、中〜高程度の確信を持って評価している。
仮想通貨企業に「特定の関心」
カペルスキーのテレメトリ解析によると、感染した3CXソフトは世界中で検出されているが、ブラジル、ドイツ、イタリア、フランスで最も高い感染数が観測されているという。
一方、Gopuramがデプロイされたのは10台未満のコンピュータであることから、カスペルスキーは攻撃者が「外科的な精密さ」でターゲットを絞り、バックドアを使用したと指摘。その対象は仮想通貨企業で、攻撃者はこの業種に「特定の関心を持っている」と同社は述べた。
カスペルスキー社のセキュリティ専門家であるGeorgy Kucherin氏は、次のようにコメントしている。
3CXサプライチェーン攻撃で展開された悪意のあるペイロードは、情報の窃取だけではない。Gopuramの背後にいる脅迫行為者は、さらに本格的なモジュール式のGopuramバックドアで標的とするマシンを感染させる。我々は、Gopuramが攻撃チェーンにおける主要なインプラントであり、最終的なペイロードであると確信している。
また、仮想通貨企業が標的となる可能性が高いため、今回の攻撃に注意を払い、さらなる侵害が起こっていないか、システムを精査する必要があると述べた。
