3CX狙ったサプライチェーン攻撃、原因は過去の別のサプライチェーン攻撃だった

Yoshida

2023.04.21

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年4月21日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

3CXにおけるサプライチェーン攻撃は過去のサプライチェーン攻撃によりもたらされた、とMandiant

Cyberscoop – News – Apr 20 2023 12:00

先月発覚した3CXでのサプライチェーン攻撃は過去の別のサプライチェーン攻撃に起因するものだったと、Mandiantが結論づけた。これは、あるサプライチェーン攻撃が第2のサプライチェーン攻撃へと繋がった初のケースだという。なおいずれの攻撃も、北朝鮮に関連する金銭的動機を持つハッカーによるものである可能性が高いとされる。

1つ目のサプライチェーン攻撃は、3CXの従業員がTrading Technologies社製の先物取引ソフトウェア「X_Trader」のトロイの木馬化バージョンをダウンロードしたことにより発生。攻撃者はその後、悪意あるX_Traderによって得られたユーザーアクセスを使い、3CXのデスクトップアプリケーションにマルウェアを混入させたのだという。

MandiantのコンサルティングCTOであるCharles Carmakal氏は、「あるソフトウェアサプライチェーン攻撃が別のソフトウェアサプライチェーン攻撃につながるケースを観測するのはこれが初めてです」と述べている。

一方、Trading Technologies社の広報担当者は同社製アプリX_Traderが攻撃で使われていた件について「先週認識したばかり」だと述べ、それゆえ「Mandiantのレポートにおける主張を検証することはできていない」とした。なおこの担当者によると、Trading Technologiesと3CXとの間にビジネス上の関係はないとのこと。

米国金融消費者保護局での大規模データ侵害、実行者は職員

Dark Reading – Apr 20 2023 20:30

米国の政府機関である金融消費者保護局（CFPB）が、ある職員の犯した大規模なデータ侵害について発表。この職員は、消費者256,000人分の個人情報を私用のメールアカウント宛にEメールで送信していたのだという。

同職員の雇用はCFPBによって打ち切られた。この人物はメールの削除および削除したことを示す証拠の提出を求められているが、まだこれらの要求に応えていないという。

現時点までに、今回の侵害で漏洩した情報には7つの金融機関の顧客に関するPII（個人を識別できる情報）が含まれていることがわかっているものの、その機密性の度合いについてはまだ確定できておらず、該当する消費者がどれくらいのリスクに晒されるかについての評価がまだ続いているとのこと。

Lazarusのキャンペーン「Operation Dream Job」でLinuxマルウェアが使われるように

The Hacker News – Apr 20 2023 11:56

北朝鮮関連の国家支援型アクターLazarus Groupの、Linuxユーザーを狙った新たなキャンペーンへの関与が指摘されている。ESETによると、このキャンペーンは「Operation Dream Job」と呼ばれる同グループの持続的かつ長期的な活動の一環であるという。

Operation Dream Jobとは、不正な求人オファーをルアーとして利用し、無防備な標的を騙してマルウェアをダウンロードさせるというLazarusの攻撃群を指す。Lazarusがこのソーシャルエンジニアリングスキームの中でLinuxマルウェアを用いるのが報告された事例は、今回のものが初めてだという。

今回ESETが発見した攻撃チェーンでは、HSBC社の求人オファーがおとりとして使われていた。これには、その後Linuxバックドア「SimplexTea」を起動するのに用いられるZIPアーカイブが含まれていたという。SimplexTeaは、OpenDriveのアカウント経由で配布される。

またESETによると、Operation Dream Jobで使用されたアーティファクトと、先月明るみに出た3CXに対するサプライチェーン攻撃において発見されたアーティファクトとの間には共通点が確認されているとのこと。

2023年4月21日

ハイライト

シスコがIndustrial Network DirectorおよびModeling Labsにおける重大な脆弱性にパッチ（CVE-2023-20036、CVE-2023-20154）

SecurityWeek – Apr 20 2023 12:30

FortraがGoAnywhereのゼロデイめぐるインシデントの調査を完了（CVE-2023-0669）

SecurityWeek – Apr 20 2023 10:09

VMwareがrootでの任意コード実行を可能にするvRealizeの重大な欠陥を修正（CVE-2023-20864、CVE-2023-20865）

Security Affairs – Apr 20 2023 22:20

盛んに悪用されるゼロデイ脆弱性のリスクを軽減：Forcepoint ONE

Medium Cybersecurity – Apr 20 2023 15:01

RegexRequestMatcherにおける認可バイパスの脆弱性（CVE-2022–22978）— Lab Walkthrough

Medium Cybersecurity – Apr 20 2023 14:01

3CX狙ったサプライチェーン攻撃と先物取引アプリでの侵害との関連が指摘される

Dark Reading – Apr 20 2023 21:46

APTグループMuddyWaterの新たなインフラが暴かれる

Cyware – Apr 20 2023 20:49

パキスタンを拠点とするハッカーグループTransparent Tribeがインドの教育機関を標的に

Medium Cybersecurity – Apr 20 2023 14:31

Contiの元メンバーとFIN7の開発者が協力して新たなマルウェアDominoを展開

DataBreaches.net – Apr 20 2023 12:11

APT28がシスコ製ルーターの脆弱性を使ってマルウェアを展開（CVE-2017-6742）

Cyware – Apr 20 2023 23:29

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。