世界中のコンピュータにバックドアを仕掛けるサプライチェーン攻撃で、具体的な標的とされたのは10台未満のコンピュータであると、サイバーセキュリティ企業のカスペルスキーが報告した。同社によると、攻撃は特に仮想通貨企業に興味を示しているという。
サイバーセキュリティ企業のクラウドストライクは3月29日、3CXが提供する法人向けビデオ会議アプリ「3CXDesktopApp」でマルウェアを検出したと報告。悪意のある活動には、「インフラへのビーコン送信、セカンドステージのペイロードの展開、ごく少数のケースではキーボード操作」が含まれていたという。カスペルスキーは、北朝鮮と関連するとされる「ラビリンス・チョルリマ」の関与が疑われると述べた。
カスペルスキーは、感染した3CXDesktopAppの.exeファイル内で見つかったダイナミックリンクライブラリ(DLL)を調査。問題のDLLは、ゴプーラム(Gopuram)というバックドアを配信するために使用されていた。しかし、多くは悪意のあるペイロードではなかった。感染した3CXのソフトウェアは、ブラジル、ドイツ、イタリア、フランスで最も感染が多く、世界中で検出されている。しかし、カスペルスキーによると、ゴプーラムは10台未満のコンピュータにしか展開されていないという。
3CXは感染について、次のように語った。
「これは、「APT攻撃(スパイや妨害工作を行うための国家主導のサイバー攻撃)」によるターゲット型攻撃だ。マルウェアをダウンロードする対象を選んでいた可能性がある」
カスペルスキーによると、ゴプーラムは北朝鮮のラザルス・グループに帰属されるアップルジュースというバックドアと共存していることが判明している。
同社は過去に、東南アジアの仮想通貨企業でゴプーラム感染を見つけている。
If you are looking for a comprehensive overview of the current #3CX supply chain attack, I created a diagram that shows the attack flow!I'll update as soon as the analysis progresses. Stay tuned for the MacOS edition! #cybersecurity #infosec #supplychainattack #3CXpocalypse pic.twitter.com/ANVLCgExmU
— Thomas Roccia (@fr0gger_) March 31, 2023
カスペルスキーによると、3CXアプリは60万以上の企業、いくつかの大手ブランドを含めて使用されている。感染したアプリはDigiCert認証を受けていた。