現在、人気の電話システム VOIP/PBX ソフトウェア 3CX のトロイの木馬化されたバージョンが話題になっています。 ビジネスホンシステムは、世界190カ国の企業で利用されています。 DLL サイドローディング攻撃を介して、トロイの木馬を含むインストール プログラムが Windows ユーザーに押し付けられます。
この攻撃はサプライ チェーン攻撃のようで、攻撃者は最終的に DLL を介して悪意のある暗号化されたペイロードをサイドロードするデスクトップ アプリケーション インストーラーを追加することができました。
電話システムが密かに攻撃している
Sophos のマネージド スレット レスポンス担当バイス プレジデントである Mat Gangwer は、現在の状況について次のように述べています。 このバックドアを通じて、悪意のある暗号化されたペイロードが最終的に取得されます。 この戦術は新しいものではなく、他の攻撃で使用される DLL サイドローディング アクティビティに似ています。 この DLL サイドローディング シナリオの XNUMX つの重要なコンポーネントを特定しました。」
影響を受けるソフトウェア 3CX は、Windows、Linux、Android、および iOS で利用できる正規のソフトウェア ベースの PBX 電話システムです。 現在、Windows システムのみが攻撃の影響を受けているようです。 このアプリケーションは攻撃者によって悪用され、さまざまなコマンド アンド コントロール (C2) サーバーと通信するインストーラーが追加されました。 現在の攻撃は、悪意のあるペイロードを含む Windows 用のソフトフォン デスクトップ クライアントのデジタル署名されたバージョンです。 脆弱性を悪用した後にこれまでに最も頻繁に観察された活動は、対話型コマンド ライン インターフェイス (コマンド シェル) のアクティブ化です。
Windows 用 PBX 電話システム
Sophos MDR は、29 年 2023 月 3 日に 8CXDesktopApp から発信された自社の顧客を標的とした悪意のある活動を初めて特定しました。 さらに、Sophos MDR は、この攻撃が公開ファイル ストレージを使用して暗号化されたマルウェアをホストしていることを突き止めました。 このリポジトリは 2022 年 XNUMX 月 XNUMX 日から使用されています。
「攻撃自体は、関連するコンポーネントの数が驚くほど多い DLL サイドローディング シナリオに基づいています」と、Matt Gangwer 氏は述べています。 「これはおそらく、顧客が異常に気付かずに 3CX デスクトップ バンドルを使用できるようにすることを目的としていました。」
現在までに、ソフォスは次の攻撃の主要コンポーネントを特定しました。
- 3CXDesktopApp.exe、クリーン ローダー
- d3dcompiler_47.dll、暗号化されたペイロードが添付された DLL
- ffmpeg.dll、トロイの木馬化された悪意のあるローダー
ffmpeg.dll ファイルには、悪意を持ってコード化された ICO ペイロードを取得する URL が埋め込まれています。 通常の DLL サイドローディング シナリオでは、悪意のあるローダー (ffmpeg.dll) が正規のアプリケーションを置き換えます。 その唯一の機能は、ペイロードをキューに入れることです。 ただし、この場合、ローダーは通常の 3CX 製品と同様に完全に機能します。代わりに、追加のペイロードが DllMain 関数に挿入されます。 これによりパケット サイズが増加しますが、トロイの木馬が C3 ビーコンをアドレス指定している間でも 2CX アプリケーションが期待どおりに動作するため、何かがおかしいというユーザーの疑念は軽減された可能性があります。
見た、認識した、ブロックした
SophosLabs は悪意のあるドメインをブロックし、次のエンドポイント検出をリリースしました: Troj/Loader-AF。 さらに、この脅威に関連する既知の C2 ドメインのリストがブロックされました。 これは、Sophos GitHub の IOC ファイルでさらに補足されています。 最後になりましたが、悪意のある ffmpeg.dll ファイルは、レピュテーションが低いというフラグが立てられています。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。