2023年06月11日 2m read

3CX社のサプライチェーン攻撃 – 古典的な脆弱性の利用

Etay Maor
Dolev Moshe Attiya
Etay Maor , Dolev Moshe Attiya

組織間で受け継がれてきた信頼関係を悪用するサプライチェーンへの攻撃は、あらゆる組織にとって最大の懸念事項の一つです。SolarWinds社 Kaseya社 も最近、最近、同様の攻撃を受けました。3月29日、VoIP IPXSを開発する3CX社を標的とした新たなサプライチェーン攻撃が確認され、北朝鮮の国家的な行為である可能性が高いとされています。

3CX社への攻撃 は、10年前のマイクロソフトの脆弱性(CVE-2013-3900)を悪用することで、実行ファイルがマイクロソフトによって正規に署名されているように見せかけながら、実際にはマルウェアを配布するために使い、破壊的な効果を生み出しました。この脆弱性が悪用されたのは今回が初めてではなく、今年初めにはマルウェアZloaderの感染キャンペーンにおいて同じ手口が使われています。3CX社のケースでは、2つの悪意ある「署名付き」DLLを使用してC&C(コマンド&コントロール)サーバに接続し、最終的にGitHubリポジトリに接続し、ユーザーがブラウザに入力する機密データを狙う情報窃取型マルウェアをダウンロードしました。

Cato Networks SASE Threat Research Report H2/2022 | Download the Report

Cato Networksのセキュリティグループは、この脅威に対して即座に対応しました。2ステージのペイロードサーバと通信しているシステムを所有する顧客に連絡を取り、どの機器が侵害されたかをお知らせしました。このキャンペーンに関連するすべてのドメインとIPをブロックし、この脅威にさらされることを制限しました。

このような脅威に対してCatoは、複数の監視ポイントを持つアプローチにより、脅威が攻撃経路全体で検出、緩和、防止されることを保証します。これは、各PoPがセキュリティスタック全体を共有し、各ネットワークフローのデータをコンテキスト化するプライベートクラウドバックボーンを活用することによってのみ実現が可能となります。Catoの3CX社の脅威に対する低減策は以下の通りです。

  • 悪意のあるドメインをタグ付けし、ブロック。悪意のあるドメインをブロックするためのファイアウォールルールは、デフォルトで有効になっています。
  • IPS(不正侵入防止システム) – ペイロードサーバをドメインブロックリストに追加。これはファイアウォールルールを補完するものであり、ファイアウォール ルールが有効になっているかどうかには依存しません。
  • マルウェア対策 – 3CX社に関連するトロイの木馬をすべてブロック。
  • MDR(Managed Detection and Response):MDRチームが、顧客のシステムに不審な動きがないかを監視し続けます。

Cato Networksのセキュリティグループは、この脅威の動向を引き続き監視しています。 攻撃に関する詳細なテクニカル分析については、Cybleのブログをご覧ください。


Related Topics

Etay Maor

Etay Maor

Cato Networksのセキュリティ戦略担当シニアディレクターであり、業界では有名なサイバーセキュリティ研究者として知られています。以前はIntSightsで最高セキュリティ責任者を務め、戦略的サイバーセキュリティ研究とセキュリティサービスを指揮してきた経験があります。そのほかIBMでシニアセキュリティの役職を歴任し、侵害対応トレーニングとセキュリティリサーチ部門を創設・指揮、さらにRSA SecurityのCyber Threats Research Labsではマルウェアリサーチとインテリジェンス・チームを統括しました。ボストンカレッジの非常勤教授であり、RSAカンファレンスとQuBitsカンファレンスの演題募集委員会(CFP)の一員でもあります。コンピューターサイエンスの学士号、テロ対策とサイバーテロの修士号を取得しています。

Read More
Dolev Moshe Attiya

Dolev Moshe Attiya

Staff Security Engineer

Catoセキュリティコンテンツチームのセキュリティエンジニア。新たな脅威やCVEに対する分析、調査、防御策の開発を担当しています。サイバーセキュリティや脅威からの保護の分野において3年以上の経験があります。

Read More

ガートナーがCatoを13部門で評価

ガートナー マネージドSD-WANサービスのマーケットガイド

ガートナー ミッドサイズ エンタープライズのハイプサイクル 2021

ガートナー バーチャルプライベートネットワークのマーケットガイド

ガートナー スレットフェーシング テクノロジーのハイプサイクル 2019

ガートナー ゼロトラストネットワークアクセスのマーケットガイド

ガートナー エッジコンピューティングのハイプサイクル 2021

ガートナー ビジネスコンティニュイティ&ITレジリエンスのハイプサイクル 2021

ガートナー ネットワークセキュリティのハイプサイクル 2021

ガートナー エンタープライズネットワーキングのハイプサイクル 2021

ガートナー ワークプレイスインフラストラクチャー&オペレーションのハイプサイクル 2021

ガートナー クラウドセキュリティのハイプサイクル 2021

ガートナー クラウドコンピューティングのハイプサイクル 2021

ガートナーは、その調査発行物に掲載されている特定のベンダー、製品またはサービスを推奨するものではありません。また、最高の評価またはその他の指定を受けたベンダーのみを選択することを技術利用者に対して助言するものではありません。ガートナーの調査発行物は、ガートナーリサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本調査に関して、商品性や特定目的への適合性の保証を含め、一切の保証を行うものではありません