3CX社のサプライチェーン攻撃 – 古典的な脆弱性の利用

あらゆる組織にとって最大の懸念事項の一つとして、組織間で受け継がれてきた信頼関係を悪用するサプライチェーンへの攻撃が挙げられるでしょう。最近では SolarWinds社 や Kaseya社 なども攻撃を受けており、また今年（2023年）の3月29日には、VoIP IPXSの開発元である3CX社を標的とした新たなサプライチェーン攻撃が確認されました。これは、北朝鮮の国家的な行為である可能性が高いとされています。

古い脆弱性を悪用した攻撃とは

3CX社への攻撃 はどのように実行されたのでしょうか。実行者は、マイクロソフトの古い脆弱性（CVE-2013-3900）を悪用し、実行ファイルがマイクロソフトによって正規に署名されているように見せかけながら、実際にはマルウェアを配布するために使い、破壊的な被害をもたらしました。この脆弱性はしばしば悪用されており、今年初めにはマルウェアZloaderの感染キャンペーンにおいて同じ手口が使われてました。3CX社のケースでは、2つの悪意ある「署名付き」DLLを使用してC&C（コマンド＆コントロール）サーバに接続し、最終的にGitHubリポジトリに接続し、ユーザーがブラウザに入力する機密データを狙う情報窃取型マルウェアをダウンロードさせています。

迅速な対応で脅威への暴露を低減

Cato Networksのセキュリティグループは、この脅威に対して即座に対応しました。2ステージのペイロードサーバと通信しているシステムを所有する顧客に連絡を取り、どの機器が侵害されたかをお知らせし、このキャンペーンに関連するすべてのドメインとIPをブロックして脅威への暴露を低減しました。

このような脅威に対してCatoは、複数の監視ポイントを持つアプローチにより、脅威が攻撃経路全体で検出、緩和、防止されることを保証します。これは、各PoPがセキュリティスタック全体を共有し、各ネットワークフローのデータをコンテキスト化するプライベートクラウドバックボーンを活用することによってのみ実現が可能となります。

Catoによる脅威への対応の詳細

Catoが実行した、3CX社の脅威に対する低減策は以下の通りです。

• 悪意のあるドメインをタグ付けし、ブロック。悪意のあるドメインをブロックするためのファイアウォールルールは、デフォルトで有効になっています。

• IPS（不正侵入防止システム） – ペイロードサーバをドメインブロックリストに追加。これはファイアウォールルールを補完するものであり、ファイアウォール ルールが有効になっているかどうかには依存しません。

• マルウェア対策 – 3CX社に関連するトロイの木馬をすべてブロック。

• MDR（Managed Detection and Response）：MDRチームが、顧客のシステムに不審な動きがないかを監視し続けます。

Cato Networksのセキュリティグループは、この脅威の動向を引き続き監視しています。 攻撃に関する詳細なテクニカル分析については、Cybleのブログをご覧ください。また、Cato SASE Cloudに関するお問い合わせはこちらで承ります。

当記事は、Cato Networksのウェブサイトでブログとして投稿された記事の抜粋です。全文はこちらで閲覧いただけます。