組織間で受け継がれてきた信頼関係を悪用するサプライチェーンへの攻撃は、あらゆる組織にとって最大の懸念事項の一つです。SolarWinds社 や Kaseya社 も最近、最近、同様の攻撃を受けました。3月29日、VoIP IPXSを開発する3CX社を標的とした新たなサプライチェーン攻撃が確認され、北朝鮮の国家的な行為である可能性が高いとされています。
3CX社への攻撃 は、10年前のマイクロソフトの脆弱性(CVE-2013-3900)を悪用することで、実行ファイルがマイクロソフトによって正規に署名されているように見せかけながら、実際にはマルウェアを配布するために使い、破壊的な効果を生み出しました。この脆弱性が悪用されたのは今回が初めてではなく、今年初めにはマルウェアZloaderの感染キャンペーンにおいて同じ手口が使われています。3CX社のケースでは、2つの悪意ある「署名付き」DLLを使用してC&C(コマンド&コントロール)サーバに接続し、最終的にGitHubリポジトリに接続し、ユーザーがブラウザに入力する機密データを狙う情報窃取型マルウェアをダウンロードしました。
Cato Networks SASE Threat Research Report H2/2022 | Download the ReportCato Networksのセキュリティグループは、この脅威に対して即座に対応しました。2ステージのペイロードサーバと通信しているシステムを所有する顧客に連絡を取り、どの機器が侵害されたかをお知らせしました。このキャンペーンに関連するすべてのドメインとIPをブロックし、この脅威にさらされることを制限しました。
このような脅威に対してCatoは、複数の監視ポイントを持つアプローチにより、脅威が攻撃経路全体で検出、緩和、防止されることを保証します。これは、各PoPがセキュリティスタック全体を共有し、各ネットワークフローのデータをコンテキスト化するプライベートクラウドバックボーンを活用することによってのみ実現が可能となります。Catoの3CX社の脅威に対する低減策は以下の通りです。
- 悪意のあるドメインをタグ付けし、ブロック。悪意のあるドメインをブロックするためのファイアウォールルールは、デフォルトで有効になっています。
- IPS(不正侵入防止システム) – ペイロードサーバをドメインブロックリストに追加。これはファイアウォールルールを補完するものであり、ファイアウォール ルールが有効になっているかどうかには依存しません。
- マルウェア対策 – 3CX社に関連するトロイの木馬をすべてブロック。
- MDR(Managed Detection and Response):MDRチームが、顧客のシステムに不審な動きがないかを監視し続けます。
Cato Networksのセキュリティグループは、この脅威の動向を引き続き監視しています。 攻撃に関する詳細なテクニカル分析については、Cybleのブログをご覧ください。
Etay Maor
Cato Networksのセキュリティ戦略担当シニアディレクターであり、業界では有名なサイバーセキュリティ研究者として知られています。以前はIntSightsで最高セキュリティ責任者を務め、戦略的サイバーセキュリティ研究とセキュリティサービスを指揮してきた経験があります。そのほかIBMでシニアセキュリティの役職を歴任し、侵害対応トレーニングとセキュリティリサーチ部門を創設・指揮、さらにRSA SecurityのCyber Threats Research Labsではマルウェアリサーチとインテリジェンス・チームを統括しました。ボストンカレッジの非常勤教授であり、RSAカンファレンスとQuBitsカンファレンスの演題募集委員会(CFP)の一員でもあります。コンピューターサイエンスの学士号、テロ対策とサイバーテロの修士号を取得しています。