大規模サプライチェーン攻撃、対象は仮想通貨企業＝カスペルスキー

　　Derek Andersen

　　2023年04月05日 08:52

　　大規模サプライチェーン攻撃、対象は仮想通貨企業＝カスペルスキー

　　世界中のコンピュータにバックドアを仕掛けるサプライチェーン攻撃で、具体的な標的とされたのは10台未満のコンピュータであると、サイバーセキュリティ企業のカスペルスキーが報告した。同社によると、攻撃は特に仮想通貨企業に興味を示しているという。

　　サイバーセキュリティ企業のクラウドストライクは3月29日、3CXが提供する法人向けビデオ会議アプリ「3CXDesktopApp」でマルウェアを検出したと報告。悪意のある活動には、「インフラへのビーコン送信、セカンドステージのペイロードの展開、ごく少数のケースではキーボード操作」が含まれていたという。カスペルスキーは、北朝鮮と関連するとされる「ラビリンス・チョルリマ」の関与が疑われると述べた。

　　カスペルスキーは、感染した3CXDesktopAppの.exeファイル内で見つかったダイナミックリンクライブラリ（DLL）を調査。問題のDLLは、ゴプーラム（Gopuram）というバックドアを配信するために使用されていた。しかし、多くは悪意のあるペイロードではなかった。感染した3CXのソフトウェアは、ブラジル、ドイツ、イタリア、フランスで最も感染が多く、世界中で検出されている。しかし、カスペルスキーによると、ゴプーラムは10台未満のコンピュータにしか展開されていないという。

　　3CXは感染について、次のように語った。

　　「これは、「APT攻撃（スパイや妨害工作を行うための国家主導のサイバー攻撃）」によるターゲット型攻撃だ。マルウェアをダウンロードする対象を選んでいた可能性がある」

　　カスペルスキーによると、ゴプーラムは北朝鮮のラザルス・グループに帰属されるアップルジュースというバックドアと共存していることが判明している。

　　同社は過去に、東南アジアの仮想通貨企業でゴプーラム感染を見つけている。

　　カスペルスキーによると、3CXアプリは60万以上の企業、いくつかの大手ブランドを含めて使用されている。感染したアプリはDigiCert認証を受けていた。