piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

3CXのソフトウエア改ざんによるサプライチェーン攻撃についてまとめてみた

2023年3月29日(現地時間)、米国の複数のセキュリティ企業は、ビジネスコミュニケーションのソフトウエア開発を行う3CXが提供するソフトウエアに不正な挙動が検出されたとして脅威情報を公開しました。その後、3CXも指摘されたソフトウエアにセキュリティ上の問題が含まれていたことを認めパートナーや顧客に対して謝罪しました。ここでは関連する情報をまとめます。

1.何が起きたの?

  • 3CXのVoIPソフトウエア「The 3CX Client」(Windows版、MacOS版)正規版のインストーラーファイルが第三者に改ざんされていたことが判明した。遅くとも2023年3月29日まで改ざんされたインストーラーが配布された状態が継続しており、万一不正なインストーラーによってインストールに成功していた場合、Chromeなどブラウザ上で保管された情報など窃取するマルウエアに感染する恐れがある。
  • 今回の攻撃の影響を受けた範囲は2023年4月1日時点で明らかになっていないが、自動車やMSP、製造業など様々な分野の世界190か国、60万の組織で使用されており、デイリーで1200万の利用者がいると3CXは紹介している。また顧客のリストには日本企業の名前も列挙されている。CrowdStrikeは、一連のキャンペーンに北朝鮮のスレットアクターが関与している可能性について言及しており、サプライチェーン攻撃であると複数の関係者が分析している。
  • 3CXへの侵入には、別のサプライチェーン攻撃を同社が受けていたことが判明。Trading Technologiesの提供するソフトウエア(インストーラー)が改ざんされており、同社の従業員が当該ソフトウエアを使用していたことでマルウエアに感染した。その後認証情報を窃取され、同社のビルド環境の侵害にもつながった。なお、Trading Technorogiesのサプライチェーン攻撃の影響が3CXにとどまっているのかは不明。
  • 一連の攻撃についての調査は現在も進められているため、今後追加で判明する情報に留意が必要。
3CXソフトウエア改ざんによるサプライチェーン攻撃の流れ(概要)

2.利用しているかもしれないが何をすればよい?

  • 自社(海外法人含め)でWindows版、またはMacOS版の3CXクライアントを業務端末(BYOD含む)で使用していないかを確認する。
  • Proxyログなどによって接続先の確認が可能な場合は、インディケーター情報掲載の通信先への接続有無を確認する。また導入しているエンドポイントやネットワークのセキュリティ製品において当該事案に対する検出状況・方法(検出名、対応時期)を確認する。(Windows Defenderでは「Trojan:Win64/SamScissors」という検出名で検出が行われる。)
  • 3CXクライアントの使用または通信先への接続が確認された場合は、該当する端末の保全や隔離を行った上、端末の業務における使用状況に応じた対応を行う。被害に遭った場合はブラウザ情報の窃取が主たる影響と現時点で分析されているものの、別のマルウエアを取得する機能も存在することから今後より深刻な状況が判明する可能性を考慮し、当該端末及び保管されている情報が第三者に掌握されていた可能性を想定して対応にあたる(クラウドを含む組織内への侵害有無の確認)ことが望ましい。

また3CXからは次の対応が案内されている。

  • 3CXのサーバー(オンプレミス運用の場合)に最新のアップデートが展開(最新のデスクトップアプリの適用)されていることを確認する。
  • 3CXクライアントのアンインストール及び必要性がない限り問題が生じたクライアントアプリケーションの利用は行わない。なお、セキュリティソフトで一部ファイルが削除されている可能性があり、アンインストーラーが失敗する場合がある。
  • 代替手段としてPWA(Progressive Web Apps)版の3CXアプリを利用する。なおPWA版はChrome、Edgeでのみ動作する。

3.マルウエアに感染していると何が起きるの?

不正なインストーラーを通じて3CXクライアントのインストールを行っていた場合、次の事象が発生することが報告されている。

  • スレットアクターに関係するサーバーへの接続
  • 別のマルウエアの取得及び実行
  • 第三者によるキーボード操作(限定的なケースと報告)
  • ブラウザ(Chrome、Edge、Firefox、Brave、IE)上で保管されている情報の窃取
今も影響を受けるの?
  • Github上の不正なICONファイルが蔵置されていたリポジトリなど既にテイクダウンは行われているが、2023年4月2日時点でも攻撃者が用意した一部の通信先は稼働中とみられ、継続して影響を受けている可能性がある。またテイクダウン以前に不正なインストーラーを実行しインストールしていた場合は既に別のマルウエアに感染している可能性がある。
  • Googleは2023年3月31日に攻撃者によって不正利用されていた証明書について、Chromeで無効化する措置を行ったから、Chrome経由で問題のインストーラーのダウンロードはブロックされる状況となっている。

4.影響を受けた3CXクライアントのバージョンは?

影響が確認されたバージョンは以下の通り。該当バージョンのインストーラーを実行していた場合はマルウエアに感染している恐れがある。なお、当該問題に対してCVE-2023-29059が割当されている。

対象OS バージョン インストーラーのハッシュ値
Windows版 (Update 7) 18.12.407 aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868
Windows版 (Update 7) 18.12.416 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983
MacOS版 (Update 6) 18.11.1213 5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290
MacOS版 (Update7) 18.12.402 N/A
MacOS版 (Update7) 18.12.407 N/A
MacOS版 (Update7) 18.12.416 N/A
MacOS版 N/A e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec
修正バージョンは公開済

今回の件を受けて修正されたバージョンは次のものだが、3CXはPWA版の利用を推奨している。

Windows版修正バージョン 18.12.422
MacOS版修正バージョン 18.12.422

5.今回の攻撃の実行者は誰?

  • CrowdStrikeは北朝鮮に関係する脅威アクター「LABYRINTH CHOLLIMA」によるものであると、高い信頼度をもって評価していると分析。
  • VOLEXITYはICONICで使用されているシェルコードの分析及びセキュリティコミュニティの観測結果を踏まえLazarusによる攻撃によるものであると分析。
  • Symantecは、今回の3CXのクライアントソフト改ざんについて、北朝鮮に関連する攻撃者によるものとTwitterへ投稿
  • Kasperskyは、過去にAppleJeusに感染した同一マシン上でGopuramマルウエアが確認されていたことなどを理由に、今回のキャンペーンとの関連がみられたことから、Lazarusによるものであると中から高程度の信頼性をもって特定したと分析。
  • Mandiantは、UNC4736として追跡している脅威アクターとの関連を指摘。同アクターは北朝鮮との関連があると高い確度をもって評価が行われているもの。

6.被害に遭ったところはどこ?

  • Kasperskyはテレメトリより、改ざんされた3CXインストーラーの影響を受けた地域として、ブラジル、ドイツ、イタリア、フランスが最高の感染数を観測したと言及。
  • Fortinetは、2023年3月31日時点の既知の不正な通信先への接続を観測した結果として、ヒートマップを公開。上位10か国として、イタリア、ドイツ、オーストリア、米国、南アフリカ、オーストラリア、スイス、オランダ、カナダ、英国の順に名前をあげた。
Fortinet社による不正通信先への接続状況(2023年3月31日時点の情報)

7.一連の攻撃にはどんなマルウエアが使用されたの?

  • Trading Technologiesの改ざんされたインストーラーファイルの展開、そしてその影響を受けた3CXの改ざんされたインストーラーファイルの展開といった2段階によるサプライチェーン攻撃であり、情報窃取マルウエアやバックドアが報告されている。またWindows、macOSといった複数プラットフォームに応じたものも報告されている。また同一インフラを使用したLinux環境を標的にした攻撃も報告されている。
Trading Technologiesのソフトウエア改ざんによるサプライチェーン攻撃

(1) 改ざんされたTrading Technologiesのインストーラーの展開

  • Trading Technologiesの公開していた正規のX_TRADERのインストーラーファイル(X_TRADER_r7.17.90p608.exe)にマルウエア(VEILEDSIGNAL)が含まれていた。3CXの従業員はPCにこのインストーラーを使用していたことからマルウエアに感染。X_TRADERは先物取引を行うソフトウエア。
  • X_TRADERのインストーラーファイルは正規の署名が行われており、ソフトウエアは2020年に廃止されたことが同社から報告されていたが、2022年時点でも同社のWebサイト上で公開が継続されていた。(署名は2022年10月に有効期限を迎える設定が行われていた。)
  • Setup.exeには無害な実行可能形式のファイルを通じて不正なDLLファイルの読み込みが行われており、このDLLにはSIGFLIPとDAVESHELLを含むもので、VEILEDSIGNALを展開。VEILEDSIGNALはC2と通信を行いバックドアとしての役割を果たす。

(2) 3CX社内でラテラルムーブメントしビルド環境侵害

  • VEILEDSIGNALを使用して3CX従業員のPCへ侵入後、社内の認証情報を窃取(されたと3CXは判断。)。Fast Reverse Proxyというリバースプロキシを使用(MsMpEng.exeというファイル名)して、3CX社内のネットワーク内で侵害範囲を拡大。従業員のPC侵害から2日後に窃取された認証情報を使用してVPN経由で企業内侵害が発生していた。
  • 攻撃者は最終的にWindows、macOS双方のビルド環境の侵害に成功。WindowsのビルドサーバーではTAXHAULとCOLDCATを展開し、永続性はIKEEXTサービスのDLLハイジャックにより確保(LocalSystem権限で実行)。またmaxOSのビルドサーバーはPOOLRATが使用されており、LaunchDaemonを永続性確保に使用していた。
3CXのソフトウエア改ざんによるサプライチェーン攻撃

(1) 改ざんされた3CXインストーラーの展開)

  • Windows環境を標的として使用されたマルウエア(改ざんされたインストーラー)には、Electron の実行ファイル1個(3CXDesktopApp.exe)と2つのDLLファイル(ffmpeg.dll、d3dcompiler_47.dll)が含まれていた。実行ファイルは3CXが開発した正規のファイルで改ざんは行われていないが、同ファイル実行時に読み込まれるDLLに対して不正なコードが仕込まれていた。
  • 最初に読み込まれるffmpeg.dllは、さらに別のDLLファイルであるd3dcompiler_47.dllを読み込み、暗号化された処理(Shellcode)を復号し、攻撃者が用意をしたGithubリポジトリ(https[:]//github[.]com/IconStorages/images)に対して接続を行う。同リポジトリには16個のICO形式ファイルが蔵置されていたが、実際にはICOファイルの末尾にC2接続先の情報が含まれており、先ほどの読み込んだ処理を通じてBase64のデコードとAESによる暗号化の復号を行いC2情報(URL)の取得を行う。なお、どのICOファイルを取得するかはランダムに選択される。
攻撃者がGithub上に蔵置していたICOファイル群(削除済、アーカイブより)
  • 2つのDLLともに正規の署名が行われていた。ffmpeg.dllは3CXのもので、d3dcompiler_47.dllはMicrosoftの正規の署名がされている。ffmpeg.dllに3CXの署名が行われていたのはビルド環境が侵害されていた可能性が考えられるが、d3dcompiler_47.dllはファイルの内容が変更されているにもかかわらずMicrosoftの署名に問題が検出されていない理由として、CVE-2013-3900の脆弱性(WinVerifyTrust 署名検証の脆弱性)が悪用されていることが判明した。
  • CVE-2013-3900の修正を有効とするかどうかはオプトインとなっており、10年以上前から変更されていない。そのため、有効とするにはレジストリの変更を行うことが必要。さらにWindows 11にアップグレードした場合、レジストリキーが削除され再び脆弱な状態となるとの指摘がある。

(2) 情報窃取

  • C2サーバー接続後、情報窃取を目的とした別のDLL(ICONIC Stealer)ファイルを取得、読み込まれる。窃取される情報は、環境情報とブラウザ情報の2つで読み込んだマルウエアを通じてC2サーバーへ送信される。送信される情報は次のもの。
環境情報 ホスト名、ドメイン名、OSのバージョン
ブラウザ情報 Google Chrome、Microsoft Edge、Brave、Firefoxの4つのブラウザが保管する接続履歴の情報。
ただし、Firefoxはplaces.sqliteが対象のため、ブックマークや入力履歴等が含まれる。

(3) 攻撃の第3段階?(バックドア展開)

  • 3CXの実行ファイルからさらに別のDLLファイル(guard64.dll)が読み込まれているケースが確認された。当該DLLファイルは、Gopuramと呼称されるバックドアの用途で用いられるマルウエア。ただし当該DLLがどのように入ってきたかについては不明。
  • Kasperskyのテレメトリによれば、Gopuramの感染数は2023年3月に増加しており、3CXのサプライチェーン攻撃との関連が判明。Gopuramの感染が確認された件数は10台未満。感染は暗号資産を取り扱う企業で確認されており、特定の関心を寄せていたとKasperskyは分析。
確認されているマルウエア等

(1) Windows標的のマルウエア

不正なファイル ハッシュ値
DAVESHELL(ffmpeg.dll) c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02
7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896
SIGFLIP(d3dcompiler_47.dll) 11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03
ICONIC Stealer 8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423
Gopuram? 9f85a07d4b4abff82ca18d990f062a84
Gopuram? 96d3bbf4d2cf6bc452b53c67b3f2516a
X_TRADER_r7.17.90p608.exe ef4ab22e565684424b4142b1294f1f4d
Setup.exe 3bda9ca504146ad5558939de9fece0700f57c1c0
MsMpEng.exe d7ba13662fbfb254acaad7ae10ad51e0bd631933
TAXHAUL(ualapi.dll/wlbsctrl.dll) 2ACC6F1D4656978F4D503929B8C804530D7E7CF6
DCEF83D8EE080B54DC54759C59F955E73D67AA65
VEILEDSIGNAL fbc50755913de619fb830fb95882e9703dbfda67dbd0f75bc17eadc9eda61370 d
COLDCAT N/A

(2) MacOS標的のマルウエア

不正なファイル ハッシュ値
libffmpeg.dylib fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7
a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67
5009c7d1590c1f8c05827122172583ddf924c53b55a46826abf66da46725505a
87c5d0c93b80acf61d24e7aaf0faae231ab507ca45483ad3d441b5d1acebc43c
SIMPLESEA (/Library/Graphics/Quartz) d9d19abffc2c7dac11a16745f4aea44f
POOLRAT 451c23709ecd5a8461ad060f6346930c

関連タイムライン

日時 出来事
2022年12月22日 攻撃者によってGithubリポジトリの更新が行われる。
2023年3月21日 KasperskyがGopuramに関連した事案の調査対応。
2023年3月22日 3CXクライアントの利用者がセキュリティ製品で脅威検出をしたと報告。
2023年3月29日 CrowdStrikeが3CXクライアントで不審な挙動が確認されていると脅威情報を公開。
2023年3月30日 3CXが正規のソフトウエアにセキュリティ上の問題が含まれていたと公表。Mandiantが調査にあたっていると説明。
同日 今回の問題について、CVE識別子(CVE-2023-29059)の割当が行われる。
同日 3CXが3CXの修正バージョン(18.12.422)を公開。
2023年4月11日 3CXがMandiantの初期調査報告を公開。
2023年4月20日 3CXや複数のセキュリティベンダが侵入に別のサプライチェーン攻撃が悪用されていたことを報告。

関連するセキュリティベンダ等の公開情報

不正なインストーラー実行後に接続が確認されている通信先

github[.]com/IconStorages/images
akamaicontainer[.]com
akamaitechcloudservices[.]com/v2/fileapi
akamaitechcloudservices[.]com/v2/storage
azuredeploystore[.]com/cloud/images
azuredeploystore[.]com/cloud/services
azureonlinecloud[.]com
azureonlinestorage[.]com/azure/storage
azureonlinestorage[.]com/google/storage
dunamistrd[.]com
glcloudservice[.]com/v1/console
glcloudservice[.]com/v1/status
journalide[.]org
msboxonline[.]com
msedgepackageinfo[.]com/microsoft-edge
msedgepackageinfo[.]com/ms-webview
msedgeupdate[.]net/Windows
msstorageazure[.]com/window
msstorageboxes[.]com/office
msstorageboxes[.]com/xbox
officeaddons[.]com/quality
officeaddons[.]com/technologies
officestoragebox[.]com/api/biosync
officestoragebox[.]com/api/session
pbxcloudeservices[.]com/network
pbxcloudeservices[.]com/phonesystem
pbxphonenetwork[.]com/phone
pbxphonenetwork[.]com/voip
pbxsources[.]com/exchange
pbxsources[.]com/queue
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com/downloads
sourceslabs[.]com/status
visualstudiofactory[.]com/groupcore
visualstudiofactory[.]com/workload
www.3cx[.]com/blog/event-trainings/
zacharryblogs[.]com/feed
zacharryblogs[.]com/xmlquery
www.tradingtechnologies[.]com

  • Githubなど、攻撃者自身が用意していないドメインも含まれているため、遮断を行う際は注意。

更新履歴

  • 2023年4月3日 AM 新規作成
  • 2023年4月6日 PM マルウエア関連の情報を追記
  • 2023年4月22日 AM 続報追記