3CXのソフトウエア改ざんによるサプライチェーン攻撃についてまとめてみた
Contents
2023年3月29日(現地時間)、米国の複数のセキュリティ企業は、ビジネスコミュニケーションのソフトウエア開発を行う3CXが提供するソフトウエアに不正な挙動が検出されたとして脅威情報を公開しました。その後、3CXも指摘されたソフトウエアにセキュリティ上の問題が含まれていたことを認めパートナーや顧客に対して謝罪しました。ここでは関連する情報をまとめます。
1.何が起きたの?
- 3CXのVoIPソフトウエア「The 3CX Client」(Windows版、MacOS版)正規版のインストーラーファイルが第三者に改ざんされていたことが判明した。遅くとも2023年3月29日まで改ざんされたインストーラーが配布された状態が継続しており、万一不正なインストーラーによってインストールに成功していた場合、Chromeなどブラウザ上で保管された情報など窃取するマルウエアに感染する恐れがある。
- 今回の攻撃の影響を受けた範囲は2023年4月1日時点で明らかになっていないが、自動車やMSP、製造業など様々な分野の世界190か国、60万の組織で使用されており、1200万の利用者がいると3CXは紹介している。また顧客のリストには日本企業の名前も列挙されている。CrowdStrikeは、一連のキャンペーンに北朝鮮のスレットアクターが関与している可能性について言及しており、サプライチェーン攻撃であると複数の関係者が分析している。
- 一連の攻撃についての調査は現在も進められているため、今後追加で判明する情報に留意が必要。
2.利用しているかもしれないが何をすればよい?
- 自社(海外法人含め)でWindows版、またはMacOS版の3CXクライアントを業務端末(BYOD含む)で使用していないかを確認する。
- Proxyログなどによって接続先の確認が可能な場合は、インディケーター情報掲載の通信先への接続有無を確認する。また導入しているエンドポイントやネットワークのセキュリティ製品において当該事案に対する検出状況・方法(検出名、対応時期)を確認する。(Windows Defenderでは「Trojan:Win64/SamScissors」という検出名で検出が行われる。)
- 3CXクライアントの使用または通信先への接続が確認された場合は、該当する端末の保全や隔離を行った上、端末の業務における使用状況に応じた対応を行う。被害に遭った場合はブラウザ情報の窃取が主たる影響と現時点で分析されているものの、別のマルウエアを取得する機能も存在することから今後より深刻な状況が判明する可能性を考慮し、当該端末及び保管されている情報が第三者に掌握されていた可能性を想定して対応にあたる(クラウドを含む組織内への侵害有無の確認)ことが望ましい。
また3CXからは次の対応が案内されている。
- 3CXのサーバー(オンプレミス運用の場合)に最新のアップデートが展開(最新のデスクトップアプリの適用)されていることを確認する。
- 3CXクライアントのアンインストール及び必要性がない限り問題が生じたクライアントアプリケーションの利用は行わない。なお、セキュリティソフトで一部ファイルが削除されている可能性があり、アンインストーラーが失敗する場合がある。
- 代替手段としてPWA(Progressive Web Apps)版の3CXアプリを利用する。なおPWA版はChrome、Edgeでのみ動作する。
3.マルウエアに感染していると何が起きるの?
不正なインストーラーを通じて3CXクライアントのインストールを行っていた場合、次の事象が発生することが報告されている。
- スレットアクターに関係するサーバーへの接続
- 別のマルウエアの取得及び実行
- キーボード操作(限定的なケースと報告)
- ブラウザ(Chrome、Edge、Firefox、Brave、IE)上で保管されている情報の窃取
今も影響を受けるの?
- Github上の不正なICONファイルが蔵置されていたリポジトリなど既にテイクダウンは行われているが、2023年4月2日時点でも攻撃者が用意した一部の通信先は稼働中とみられ、継続して影響を受けている可能性がある。またテイクダウン以前に不正なインストーラーを実行しインストールしていた場合は既に別のマルウエアに感染している可能性がある。
- Googleは2023年3月31日に攻撃者によって不正利用されていた証明書について、Chromeで無効化する措置を行ったから、Chrome経由で問題のインストーラーのダウンロードはブロックされる状況となっている。
4.影響を受けた3CXクライアントのバージョンは?
影響が確認されたバージョンは以下の通り。該当バージョンのインストーラーを実行していた場合はマルウエアに感染している恐れがある。なお、当該問題に対してCVE-2023-29059が割当されている。
|対象OS||バージョン||インストーラーのハッシュ値|
|Windows版 (Update 7)||18.12.407||aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868|
|Windows版 (Update 7)||18.12.416||59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983|
|MacOS版 (Update 6)||18.11.1213||5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290|
|MacOS版 (Update7)||18.12.402||N/A|
|MacOS版 (Update7)||18.12.407||N/A|
|MacOS版 (Update7)||18.12.416||N/A|
|MacOS版||N/A||e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec|
修正バージョンは公開済
今回の件を受けて修正されたバージョンは次のものだが、3CXはPWA版の利用を推奨している。
|Windows版修正バージョン||18.12.422|
|MacOS版修正バージョン||18.12.422|
5.今回の攻撃の実行者は誰?
- CrowdStrikeは北朝鮮に関係する脅威アクター「LABYRINTH CHOLLIMA」によるものであると、高い信頼度をもって評価していると分析。
- VOLEXITYはICONICで使用されているシェルコードの分析及びセキュリティコミュニティの観測結果を踏まえLazarusによる攻撃によるものであると分析。
- Syamtecは、今回の3CXのクライアントソフト改ざんについて、北朝鮮に関連する攻撃者によるものとTwitterへ投稿。
関連タイムライン
|日時||出来事|
|2022年12月22日||攻撃者によってGithubリポジトリの更新が行われる。|
|2023年3月22日||3CXクライアントの利用者がセキュリティ製品で脅威検出をしたと報告。|
|2023年3月29日||CrowdStrikeが3CXクライアントで不審な挙動が確認されていると脅威情報を公開。|
|2023年3月30日||3CXが正規のソフトウエアにセキュリティ上の問題が含まれていたと公表。Mandiantが調査にあたっていると説明。|
|同日||今回の問題について、CVE識別子(CVE-2023-29059)の割当が行われる。|
|同日||3CXが3CXの修正バージョン(18.12.422)を公開。|
3CXの公開情報
- 2023年3月30日 3CX DesktopApp Security Alert
- 2023年3月30日 3CX DesktopApp Security Alert - Mandiant Appointed to Investigate
- 2023年3月31日 Chrome blocks latest 3CX MSI installer
- 2023年4月1日 Uninstalling the Desktop App
- 2023年4月1日 Security Incident Update Saturday 1 April 2023
関連するセキュリティベンダ等の公開情報
- Reddit関連スレ // 2023-03-29 // SITUATIONAL AWARENESS // CrowdStrike Tracking Active Intrusion Campaign Targeting 3CX Customers //
- CrowdStrike CrowdStrike Falcon Platform Detects and Prevents Active Intrusion Campaign Targeting 3CXDesktopApp Customers
- SentinelOne SmoothOperator | Ongoing Campaign Trojanizes 3CXDesktopApp in Supply Chain Attack
- Sophos Update 2: 3CX users under DLL-sideloading attack: What you need to know
- Checkpoint 3CXDesktop App Trojanizes in A Supply Chain Attack: Check Point Customers Remain Protected
- Todyl Threat Advisory: 3CX Softphone Telephony Campaign
- tenable 3CX Desktop App for Windows and …
1.何が起きたの?
- 3CXのVoIPソフトウエア「The 3CX Client」(Windows版、MacOS版)正規版のインストーラーファイルが第三者に改ざんされていたことが判明した。遅くとも2023年3月29日まで改ざんされたインストーラーが配布された状態が継続しており、万一不正なインストーラーによってインストールに成功していた場合、Chromeなどブラウザ上で保管された情報など窃取するマルウエアに感染する恐れがある。
- 今回の攻撃の影響を受けた範囲は2023年4月1日時点で明らかになっていないが、自動車やMSP、製造業など様々な分野の世界190か国、60万の組織で使用されており、1200万の利用者がいると3CXは紹介している。また顧客のリストには日本企業の名前も列挙されている。CrowdStrikeは、一連のキャンペーンに北朝鮮のスレットアクターが関与している可能性について言及しており、サプライチェーン攻撃であると複数の関係者が分析している。
- 一連の攻撃についての調査は現在も進められているため、今後追加で判明する情報に留意が必要。
2.利用しているかもしれないが何をすればよい?
- 自社(海外法人含め)でWindows版、またはMacOS版の3CXクライアントを業務端末(BYOD含む)で使用していないかを確認する。
- Proxyログなどによって接続先の確認が可能な場合は、インディケーター情報掲載の通信先への接続有無を確認する。また導入しているエンドポイントやネットワークのセキュリティ製品において当該事案に対する検出状況・方法(検出名、対応時期)を確認する。(Windows Defenderでは「Trojan:Win64/SamScissors」という検出名で検出が行われる。)
- 3CXクライアントの使用または通信先への接続が確認された場合は、該当する端末の保全や隔離を行った上、端末の業務における使用状況に応じた対応を行う。被害に遭った場合はブラウザ情報の窃取が主たる影響と現時点で分析されているものの、別のマルウエアを取得する機能も存在することから今後より深刻な状況が判明する可能性を考慮し、当該端末及び保管されている情報が第三者に掌握されていた可能性を想定して対応にあたる(クラウドを含む組織内への侵害有無の確認)ことが望ましい。
また3CXからは次の対応が案内されている。
- 3CXのサーバー(オンプレミス運用の場合)に最新のアップデートが展開(最新のデスクトップアプリの適用)されていることを確認する。
- 3CXクライアントのアンインストール及び必要性がない限り問題が生じたクライアントアプリケーションの利用は行わない。なお、セキュリティソフトで一部ファイルが削除されている可能性があり、アンインストーラーが失敗する場合がある。
- 代替手段としてPWA(Progressive Web Apps)版の3CXアプリを利用する。なおPWA版はChrome、Edgeでのみ動作する。
3.マルウエアに感染していると何が起きるの?
不正なインストーラーを通じて3CXクライアントのインストールを行っていた場合、次の事象が発生することが報告されている。
- スレットアクターに関係するサーバーへの接続
- 別のマルウエアの取得及び実行
- キーボード操作(限定的なケースと報告)
- ブラウザ(Chrome、Edge、Firefox、Brave、IE)上で保管されている情報の窃取
今も影響を受けるの?
- Github上の不正なICONファイルが蔵置されていたリポジトリなど既にテイクダウンは行われているが、2023年4月2日時点でも攻撃者が用意した一部の通信先は稼働中とみられ、継続して影響を受けている可能性がある。またテイクダウン以前に不正なインストーラーを実行しインストールしていた場合は既に別のマルウエアに感染している可能性がある。
- Googleは2023年3月31日に攻撃者によって不正利用されていた証明書について、Chromeで無効化する措置を行ったから、Chrome経由で問題のインストーラーのダウンロードはブロックされる状況となっている。
4.影響を受けた3CXクライアントのバージョンは?
影響が確認されたバージョンは以下の通り。該当バージョンのインストーラーを実行していた場合はマルウエアに感染している恐れがある。なお、当該問題に対してCVE-2023-29059が割当されている。
|対象OS||バージョン||インストーラーのハッシュ値|
|Windows版 (Update 7)||18.12.407||aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868|
|Windows版 (Update 7)||18.12.416||59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983|
|MacOS版 (Update 6)||18.11.1213||5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290|
|MacOS版 (Update7)||18.12.402||N/A|
|MacOS版 (Update7)||18.12.407||N/A|
|MacOS版 (Update7)||18.12.416||N/A|
|MacOS版||N/A||e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec|
修正バージョンは公開済
今回の件を受けて修正されたバージョンは次のものだが、3CXはPWA版の利用を推奨している。
|Windows版修正バージョン||18.12.422|
|MacOS版修正バージョン||18.12.422|
5.今回の攻撃の実行者は誰?
- CrowdStrikeは北朝鮮に関係する脅威アクター「LABYRINTH CHOLLIMA」によるものであると、高い信頼度をもって評価していると分析。
- VOLEXITYはICONICで使用されているシェルコードの分析及びセキュリティコミュニティの観測結果を踏まえLazarusによる攻撃によるものであると分析。
- Syamtecは、今回の3CXのクライアントソフト改ざんについて、北朝鮮に関連する攻撃者によるものとTwitterへ投稿。
関連タイムライン
|日時||出来事|
|2022年12月22日||攻撃者によってGithubリポジトリの更新が行われる。|
|2023年3月22日||3CXクライアントの利用者がセキュリティ製品で脅威検出をしたと報告。|
|2023年3月29日||CrowdStrikeが3CXクライアントで不審な挙動が確認されていると脅威情報を公開。|
|2023年3月30日||3CXが正規のソフトウエアにセキュリティ上の問題が含まれていたと公表。Mandiantが調査にあたっていると説明。|
|同日||今回の問題について、CVE識別子(CVE-2023-29059)の割当が行われる。|
|同日||3CXが3CXの修正バージョン(18.12.422)を公開。|
3CXの公開情報
- 2023年3月30日 3CX DesktopApp Security Alert
- 2023年3月30日 3CX DesktopApp Security Alert - Mandiant Appointed to Investigate
- 2023年3月31日 Chrome blocks latest 3CX MSI installer
- 2023年4月1日 Uninstalling the Desktop App
- 2023年4月1日 Security Incident Update Saturday 1 April 2023
関連するセキュリティベンダ等の公開情報
- Reddit関連スレ // 2023-03-29 // SITUATIONAL AWARENESS // CrowdStrike Tracking Active Intrusion Campaign Targeting 3CX Customers //
- CrowdStrike CrowdStrike Falcon Platform Detects and Prevents Active Intrusion Campaign Targeting 3CXDesktopApp Customers
- SentinelOne SmoothOperator | Ongoing Campaign Trojanizes 3CXDesktopApp in Supply Chain Attack
- Sophos Update 2: 3CX users under DLL-sideloading attack: What you need to know
- Checkpoint 3CXDesktop App Trojanizes in A Supply Chain Attack: Check Point Customers Remain Protected
- Todyl Threat Advisory: 3CX Softphone Telephony Campaign
- tenable 3CX Desktop App for Windows and …
IoC
5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290
59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983
aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868
e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec
http://akamaicontainer.com
http://akamaitechcloudservices.com/v2/fileapi
http://akamaitechcloudservices.com/v2/storage
http://azuredeploystore.com/cloud/images
http://azuredeploystore.com/cloud/services
http://azureonlinecloud.com
http://azureonlinestorage.com/azure/storage
http://azureonlinestorage.com/google/storage
http://dunamistrd.com
http://github.com/IconStorages/images
http://glcloudservice.com/v1/console
http://glcloudservice.com/v1/status
http://journalide.org
http://msedgepackageinfo.com/microsoft-edge
http://msedgepackageinfo.com/ms-webview
http://msedgeupdate.net/Windows
http://msstorageazure.com/window
http://msstorageboxes.com/office
http://msstorageboxes.com/xbox
http://officeaddons.com/quality
http://officeaddons.com/technologies
http://officestoragebox.com/api/biosync
http://officestoragebox.com/api/session
http://pbxcloudeservices.com/network
http://pbxcloudeservices.com/phonesystem
http://pbxphonenetwork.com/phone
http://pbxphonenetwork.com/voip
http://pbxsources.com/exchange
http://pbxsources.com/queue
http://qwepoi123098.com
http://sbmsa.wiki
http://sourceslabs.com/downloads
http://sourceslabs.com/status
http://visualstudiofactory.com/groupcore
http://visualstudiofactory.com/workload
http://zacharryblogs.com/feed
http://zacharryblogs.com/xmlquery
59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983
aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868
e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec
http://akamaicontainer.com
http://akamaitechcloudservices.com/v2/fileapi
http://akamaitechcloudservices.com/v2/storage
http://azuredeploystore.com/cloud/images
http://azuredeploystore.com/cloud/services
http://azureonlinecloud.com
http://azureonlinestorage.com/azure/storage
http://azureonlinestorage.com/google/storage
http://dunamistrd.com
http://github.com/IconStorages/images
http://glcloudservice.com/v1/console
http://glcloudservice.com/v1/status
http://journalide.org
http://msedgepackageinfo.com/microsoft-edge
http://msedgepackageinfo.com/ms-webview
http://msedgeupdate.net/Windows
http://msstorageazure.com/window
http://msstorageboxes.com/office
http://msstorageboxes.com/xbox
http://officeaddons.com/quality
http://officeaddons.com/technologies
http://officestoragebox.com/api/biosync
http://officestoragebox.com/api/session
http://pbxcloudeservices.com/network
http://pbxcloudeservices.com/phonesystem
http://pbxphonenetwork.com/phone
http://pbxphonenetwork.com/voip
http://pbxsources.com/exchange
http://pbxsources.com/queue
http://qwepoi123098.com
http://sbmsa.wiki
http://sourceslabs.com/downloads
http://sourceslabs.com/status
http://visualstudiofactory.com/groupcore
http://visualstudiofactory.com/workload
http://zacharryblogs.com/feed
http://zacharryblogs.com/xmlquery