2023年3月29日(現地時間)、米国の複数のセキュリティ企業は、ビジネスコミュニケーションのソフトウエア開発を行う3CXが提供するソフトウエアに不正な挙動が検出されたとして脅威情報を公開しました。その後、3CXも指摘されたソフトウエアにセキュリティ上の問題が含まれていたことを認めパートナーや顧客に対して謝罪しました。ここでは関連する情報をまとめます。
1.何が起きたの?
- 3CXのVoIPソフトウエア「The 3CX Client」(Windows版、MacOS版)正規版のインストーラーファイルが第三者に改ざんされていたことが判明した。遅くとも2023年3月29日まで改ざんされたインストーラーが配布された状態が継続しており、万一不正なインストーラーによってインストールに成功していた場合、Chromeなどブラウザ上で保管された情報など窃取するマルウエアに感染する恐れがある。
- 今回の攻撃の影響を受けた範囲は2023年4月1日時点で明らかになっていないが、自動車やMSP、製造業など様々な分野の世界190か国、60万の組織で使用されており、デイリーで1200万の利用者がいると3CXは紹介している。また顧客のリストには日本企業の名前も列挙されている。CrowdStrikeは、一連のキャンペーンに北朝鮮のスレットアクターが関与している可能性について言及しており、サプライチェーン攻撃であると複数の関係者が分析している。
- 3CXへの侵入には、別のサプライチェーン攻撃を同社が受けていたことが判明。Trading Technologiesの提供するソフトウエア(インストーラー)が改ざんされており、同社の従業員が当該ソフトウエアを使用していたことでマルウエアに感染した。その後認証情報を窃取され、同社のビルド環境の侵害にもつながった。なお、Trading Technorogiesのサプライチェーン攻撃の影響が3CXにとどまっているのかは不明。
- 一連の攻撃についての調査は現在も進められているため、今後追加で判明する情報に留意が必要。
2.利用しているかもしれないが何をすればよい?
- 自社(海外法人含め)でWindows版、またはMacOS版の3CXクライアントを業務端末(BYOD含む)で使用していないかを確認する。
- Proxyログなどによって接続先の確認が可能な場合は、インディケーター情報掲載の通信先への接続有無を確認する。また導入しているエンドポイントやネットワークのセキュリティ製品において当該事案に対する検出状況・方法(検出名、対応時期)を確認する。(Windows Defenderでは「Trojan:Win64/SamScissors」という検出名で検出が行われる。)
- 3CXクライアントの使用または通信先への接続が確認された場合は、該当する端末の保全や隔離を行った上、端末の業務における使用状況に応じた対応を行う。被害に遭った場合はブラウザ情報の窃取が主たる影響と現時点で分析されているものの、別のマルウエアを取得する機能も存在することから今後より深刻な状況が判明する可能性を考慮し、当該端末及び保管されている情報が第三者に掌握されていた可能性を想定して対応にあたる(クラウドを含む組織内への侵害有無の確認)ことが望ましい。
また3CXからは次の対応が案内されている。
- 3CXのサーバー(オンプレミス運用の場合)に最新のアップデートが展開(最新のデスクトップアプリの適用)されていることを確認する。
- 3CXクライアントのアンインストール及び必要性がない限り問題が生じたクライアントアプリケーションの利用は行わない。なお、セキュリティソフトで一部ファイルが削除されている可能性があり、アンインストーラーが失敗する場合がある。
- 代替手段としてPWA(Progressive Web Apps)版の3CXアプリを利用する。なおPWA版はChrome、Edgeでのみ動作する。
3.マルウエアに感染していると何が起きるの?
不正なインストーラーを通じて3CXクライアントのインストールを行っていた場合、次の事象が発生することが報告されている。
- スレットアクターに関係するサーバーへの接続
- 別のマルウエアの取得及び実行
- 第三者によるキーボード操作(限定的なケースと報告)
- ブラウザ(Chrome、Edge、Firefox、Brave、IE)上で保管されている情報の窃取
今も影響を受けるの?
- Github上の不正なICONファイルが蔵置されていたリポジトリなど既にテイクダウンは行われているが、2023年4月2日時点でも攻撃者が用意した一部の通信先は稼働中とみられ、継続して影響を受けている可能性がある。またテイクダウン以前に不正なインストーラーを実行しインストールしていた場合は既に別のマルウエアに感染している可能性がある。
- Googleは2023年3月31日に攻撃者によって不正利用されていた証明書について、Chromeで無効化する措置を行ったから、Chrome経由で問題のインストーラーのダウンロードはブロックされる状況となっている。
4.影響を受けた3CXクライアントのバージョンは?
影響が確認されたバージョンは以下の通り。該当バージョンのインストーラーを実行していた場合はマルウエアに感染している恐れがある。なお、当該問題に対してCVE-2023-29059が割当されている。
| 対象OS | バージョン | インストーラーのハッシュ値 |
|---|---|---|
| Windows版 (Update 7) | 18.12.407 | aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 |
| Windows版 (Update 7) | 18.12.416 | 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 |
| MacOS版 (Update 6) | 18.11.1213 | 5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290 |
| MacOS版 (Update7) | 18.12.402 | N/A |
| MacOS版 (Update7) | 18.12.407 | N/A |
| MacOS版 (Update7) | 18.12.416 | N/A |
| MacOS版 | N/A | e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec |
修正バージョンは公開済
今回の件を受けて修正されたバージョンは次のものだが、3CXはPWA版の利用を推奨している。
| Windows版修正バージョン | 18.12.422 |
|---|---|
| MacOS版修正バージョン | 18.12.422 |
5.今回の攻撃の実行者は誰?
- CrowdStrikeは北朝鮮に関係する脅威アクター「LABYRINTH CHOLLIMA」によるものであると、高い信頼度をもって評価していると分析。
- VOLEXITYはICONICで使用されているシェルコードの分析及びセキュリティコミュニティの観測結果を踏まえLazarusによる攻撃によるものであると分析。
- Symantecは、今回の3CXのクライアントソフト改ざんについて、北朝鮮に関連する攻撃者によるものとTwitterへ投稿。
- Kasperskyは、過去にAppleJeusに感染した同一マシン上でGopuramマルウエアが確認されていたことなどを理由に、今回のキャンペーンとの関連がみられたことから、Lazarusによるものであると中から高程度の信頼性をもって特定したと分析。
- Mandiantは、UNC4736として追跡している脅威アクターとの関連を指摘。同アクターは北朝鮮との関連があると高い確度をもって評価が行われているもの。
6.被害に遭ったところはどこ?
- Kasperskyはテレメトリより、改ざんされた3CXインストーラーの影響を受けた地域として、ブラジル、ドイツ、イタリア、フランスが最高の感染数を観測したと言及。
- Fortinetは、2023年3月31日時点の既知の不正な通信先への接続を観測した結果として、ヒートマップを公開。上位10か国として、イタリア、ドイツ、オーストリア、米国、南アフリカ、オーストラリア、スイス、オランダ、カナダ、英国の順に名前をあげた。
7.一連の攻撃にはどんなマルウエアが使用されたの?
- Trading Technologiesの改ざんされたインストーラーファイルの展開、そしてその影響を受けた3CXの改ざんされたインストーラーファイルの展開といった2段階によるサプライチェーン攻撃であり、情報窃取マルウエアやバックドアが報告されている。またWindows、macOSといった複数プラットフォームに応じたものも報告されている。また同一インフラを使用したLinux環境を標的にした攻撃も報告されている。
Trading Technologiesのソフトウエア改ざんによるサプライチェーン攻撃
(1) 改ざんされたTrading Technologiesのインストーラーの展開
- Trading Technologiesの公開していた正規のX_TRADERのインストーラーファイル(X_TRADER_r7.17.90p608.exe)にマルウエア(VEILEDSIGNAL)が含まれていた。3CXの従業員はPCにこのインストーラーを使用していたことからマルウエアに感染。X_TRADERは先物取引を行うソフトウエア。
- X_TRADERのインストーラーファイルは正規の署名が行われており、ソフトウエアは2020年に廃止されたことが同社から報告されていたが、2022年時点でも同社のWebサイト上で公開が継続されていた。(署名は2022年10月に有効期限を迎える設定が行われていた。)
- Setup.exeには無害な実行可能形式のファイルを通じて不正なDLLファイルの読み込みが行われており、このDLLにはSIGFLIPとDAVESHELLを含むもので、VEILEDSIGNALを展開。VEILEDSIGNALはC2と通信を行いバックドアとしての役割を果たす。
(2) 3CX社内でラテラルムーブメントしビルド環境侵害
- VEILEDSIGNALを使用して3CX従業員のPCへ侵入後、社内の認証情報を窃取(されたと3CXは判断。)。Fast Reverse Proxyというリバースプロキシを使用(MsMpEng.exeというファイル名)して、3CX社内のネットワーク内で侵害範囲を拡大。従業員のPC侵害から2日後に窃取された認証情報を使用してVPN経由で企業内侵害が発生していた。
- 攻撃者は最終的にWindows、macOS双方のビルド環境の侵害に成功。WindowsのビルドサーバーではTAXHAULとCOLDCATを展開し、永続性はIKEEXTサービスのDLLハイジャックにより確保(LocalSystem権限で実行)。またmaxOSのビルドサーバーはPOOLRATが使用されており、LaunchDaemonを永続性確保に使用していた。
3CXのソフトウエア改ざんによるサプライチェーン攻撃
(1) 改ざんされた3CXインストーラーの展開)
- Windows環境を標的として使用されたマルウエア(改ざんされたインストーラー)には、Electron の実行ファイル1個(3CXDesktopApp.exe)と2つのDLLファイル(ffmpeg.dll、d3dcompiler_47.dll)が含まれていた。実行ファイルは3CXが開発した正規のファイルで改ざんは行われていないが、同ファイル実行時に読み込まれるDLLに対して不正なコードが仕込まれていた。
- 最初に読み込まれるffmpeg.dllは、さらに別のDLLファイルであるd3dcompiler_47.dllを読み込み、暗号化された処理(Shellcode)を復号し、攻撃者が用意をしたGithubリポジトリ(
https[:]//github[.]com/IconStorages/images)に対して接続を行う。同リポジトリには16個のICO形式ファイルが蔵置されていたが、実際にはICOファイルの末尾にC2接続先の情報が含まれており、先ほどの読み込んだ処理を通じてBase64のデコードとAESによる暗号化の復号を行いC2情報(URL)の取得を行う。なお、どのICOファイルを取得するかはランダムに選択される。
- 2つのDLLともに正規の署名が行われていた。ffmpeg.dllは3CXのもので、d3dcompiler_47.dllはMicrosoftの正規の署名がされている。ffmpeg.dllに3CXの署名が行われていたのはビルド環境が侵害されていた可能性が考えられるが、d3dcompiler_47.dllはファイルの内容が変更されているにもかかわらずMicrosoftの署名に問題が検出されていない理由として、CVE-2013-3900の脆弱性(WinVerifyTrust 署名検証の脆弱性)が悪用されていることが判明した。
- CVE-2013-3900の修正を有効とするかどうかはオプトインとなっており、10年以上前から変更されていない。そのため、有効とするにはレジストリの変更を行うことが必要。さらにWindows 11にアップグレードした場合、レジストリキーが削除され再び脆弱な状態となるとの指摘がある。
(2) 情報窃取
- C2サーバー接続後、情報窃取を目的とした別のDLL(ICONIC Stealer)ファイルを取得、読み込まれる。窃取される情報は、環境情報とブラウザ情報の2つで読み込んだマルウエアを通じてC2サーバーへ送信される。送信される情報は次のもの。
| 環境情報 | ホスト名、ドメイン名、OSのバージョン |
|---|---|
| ブラウザ情報 | Google Chrome、Microsoft Edge、Brave、Firefoxの4つのブラウザが保管する接続履歴の情報。 ただし、Firefoxはplaces.sqliteが対象のため、ブックマークや入力履歴等が含まれる。 |
(3) 攻撃の第3段階?(バックドア展開)
- 3CXの実行ファイルからさらに別のDLLファイル(guard64.dll)が読み込まれているケースが確認された。当該DLLファイルは、Gopuramと呼称されるバックドアの用途で用いられるマルウエア。ただし当該DLLがどのように入ってきたかについては不明。
- Kasperskyのテレメトリによれば、Gopuramの感染数は2023年3月に増加しており、3CXのサプライチェーン攻撃との関連が判明。Gopuramの感染が確認された件数は10台未満。感染は暗号資産を取り扱う企業で確認されており、特定の関心を寄せていたとKasperskyは分析。
確認されているマルウエア等
(1) Windows標的のマルウエア
| 不正なファイル | ハッシュ値 | |
|---|---|---|
| DAVESHELL(ffmpeg.dll) | c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02 7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896 |
|
| SIGFLIP(d3dcompiler_47.dll) | 11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03 | |
| ICONIC Stealer | 8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423 | |
| Gopuram? | 9f85a07d4b4abff82ca18d990f062a84 | |
| Gopuram? | 96d3bbf4d2cf6bc452b53c67b3f2516a | |
| X_TRADER_r7.17.90p608.exe | ef4ab22e565684424b4142b1294f1f4d | |
| Setup.exe | 3bda9ca504146ad5558939de9fece0700f57c1c0 | |
| MsMpEng.exe | d7ba13662fbfb254acaad7ae10ad51e0bd631933 | |
| TAXHAUL(ualapi.dll/wlbsctrl.dll) | 2ACC6F1D4656978F4D503929B8C804530D7E7CF6 DCEF83D8EE080B54DC54759C59F955E73D67AA65 |
|
| VEILEDSIGNAL | fbc50755913de619fb830fb95882e9703dbfda67dbd0f75bc17eadc9eda61370 | d |
| COLDCAT | N/A |
(2) MacOS標的のマルウエア
| 不正なファイル | ハッシュ値 |
|---|---|
| libffmpeg.dylib | fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7 a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67 5009c7d1590c1f8c05827122172583ddf924c53b55a46826abf66da46725505a 87c5d0c93b80acf61d24e7aaf0faae231ab507ca45483ad3d441b5d1acebc43c |
| SIMPLESEA (/Library/Graphics/Quartz) | d9d19abffc2c7dac11a16745f4aea44f |
| POOLRAT | 451c23709ecd5a8461ad060f6346930c |
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2022年12月22日 | 攻撃者によってGithubリポジトリの更新が行われる。 |
| 2023年3月21日 | KasperskyがGopuramに関連した事案の調査対応。 |
| 2023年3月22日 | 3CXクライアントの利用者がセキュリティ製品で脅威検出をしたと報告。 |
| 2023年3月29日 | CrowdStrikeが3CXクライアントで不審な挙動が確認されていると脅威情報を公開。 |
| 2023年3月30日 | 3CXが正規のソフトウエアにセキュリティ上の問題が含まれていたと公表。Mandiantが調査にあたっていると説明。 |
| 同日 | 今回の問題について、CVE識別子(CVE-2023-29059)の割当が行われる。 |
| 同日 | 3CXが3CXの修正バージョン(18.12.422)を公開。 |
| 2023年4月11日 | 3CXがMandiantの初期調査報告を公開。 |
| 2023年4月20日 | 3CXや複数のセキュリティベンダが侵入に別のサプライチェーン攻撃が悪用されていたことを報告。 |
3CXの公開情報
- 2023年3月30日 3CX DesktopApp Security Alert
- 2023年3月30日 3CX DesktopApp Security Alert - Mandiant Appointed to Investigate
- 2023年3月31日 Chrome blocks latest 3CX MSI installer
- 2023年4月1日 Uninstalling the Desktop App
- 2023年4月1日 Security Incident Update Saturday 1 April 2023
- 2023年4月11日 Security Update Tuesday 11 April 2023 - Interim Assessment Concluded
- 2023年4月20日 Security Update Thursday 20 April 2023 – Initial Intrusion Vector Found
関連するセキュリティベンダ等の公開情報
- Reddit関連スレ // 2023-03-29 // SITUATIONAL AWARENESS // CrowdStrike Tracking Active Intrusion Campaign Targeting 3CX Customers //
- CrowdStrike CrowdStrike Falcon Platform Detects and Prevents Active Intrusion Campaign Targeting 3CXDesktopApp Customers
- SentinelOne SmoothOperator | Ongoing Campaign Trojanizes 3CXDesktopApp in Supply Chain Attack
- Sophos Update 2: 3CX users under DLL-sideloading attack: What you need to know
- Checkpoint 3CXDesktop App Trojanizes in A Supply Chain Attack: Check Point Customers Remain Protected
- Todyl Threat Advisory: 3CX Softphone Telephony Campaign
- tenable 3CX Desktop App for Windows and macOS Reportedly Compromised in Supply Chain Attack
- Objective-See Ironing out (the macOS details) of a Smooth Operator
- HUNTRESS 3CX VoIP Software Compromise & Supply Chain Threats
- Bleeping Computer Hackers compromise 3CX desktop app in a supply chain attack
- Trend Micro 3CXデスクトップアプリを悪用した攻撃を確認
- Kaspersky Not just an infostealer: Gopuram backdoor deployed through 3CX supply chain attack
- Fortinet 3CX Desktop App Compromised (CVE-2023-29059)
- Checkpoint 3CXDesktop App Trojanizes in A Supply Chain Attack: Check Point Customers Remain Protected
- Mandiant 3CX Software Supply Chain Compromise Initiated by a Prior Software Supply Chain Compromise; Suspected North Korean Actor Responsible
- ESET Linux malware strengthens links between Lazarus and the 3CX supply‑chain attack
注意喚起等
- NCSC 3CX DesktopApp security issue
- CISA Supply Chain Attack Against 3CXDesktopApp
- CISA CISA Releases Malware Analysis Report on ICONICSTEALER
- Canadian Centre for Cyber Security Alert - Supply chain compromise impacting 3CXDesktopApp
- ACSC Supply chain compromise of 3CX DesktopApp
- CERT NZ Supply Chain Attack against 3CXDesktopApp
不正なインストーラー実行後に接続が確認されている通信先
github[.]com/IconStorages/images
akamaicontainer[.]com
akamaitechcloudservices[.]com/v2/fileapi
akamaitechcloudservices[.]com/v2/storage
azuredeploystore[.]com/cloud/images
azuredeploystore[.]com/cloud/services
azureonlinecloud[.]com
azureonlinestorage[.]com/azure/storage
azureonlinestorage[.]com/google/storage
dunamistrd[.]com
glcloudservice[.]com/v1/console
glcloudservice[.]com/v1/status
journalide[.]org
msboxonline[.]com
msedgepackageinfo[.]com/microsoft-edge
msedgepackageinfo[.]com/ms-webview
msedgeupdate[.]net/Windows
msstorageazure[.]com/window
msstorageboxes[.]com/office
msstorageboxes[.]com/xbox
officeaddons[.]com/quality
officeaddons[.]com/technologies
officestoragebox[.]com/api/biosync
officestoragebox[.]com/api/session
pbxcloudeservices[.]com/network
pbxcloudeservices[.]com/phonesystem
pbxphonenetwork[.]com/phone
pbxphonenetwork[.]com/voip
pbxsources[.]com/exchange
pbxsources[.]com/queue
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com/downloads
sourceslabs[.]com/status
visualstudiofactory[.]com/groupcore
visualstudiofactory[.]com/workload
www.3cx[.]com/blog/event-trainings/
zacharryblogs[.]com/feed
zacharryblogs[.]com/xmlquery
www.tradingtechnologies[.]com
- Githubなど、攻撃者自身が用意していないドメインも含まれているため、遮断を行う際は注意。
更新履歴
- 2023年4月3日 AM 新規作成
- 2023年4月6日 PM マルウエア関連の情報を追記
- 2023年4月22日 AM 続報追記
