** 本記事は、3CX Desktop Attack: Sophos Customer Information の翻訳です。最新の情報は英語記事をご覧ください。**
概要
Sophos X-Ops は、国家に関連するグループによるものと考えられるものとして3CX Desktop アプリケーションに対する攻撃を追跡しています。
影響を受けたソフトウェアは、Windows、MacOS、Linux、Android、iOS で利用可能な正当なソフトウェアベースの PBX 電話システムである 3CX です。脅威アクターは、このアプリケーションを悪用して、様々なコマンドアンドコントロール (C2) サーバーと通信するインストーラを追加しました。
本攻撃の IOC の一覧は、Sophos の GitHub で公開しています。
ソフォスでの保護
ソフォスは、この攻撃からお客様を保護するために、以下の対応を行いました:
- 悪意のあるドメインをブロック
- エンドポイントでの検出:Troj/Loader-AF
- 脅威に関連する既知の C2 ドメインのリストをブロックし、今後もそのリストを追加予定
- Sophos MDR のお客様には、MDR Detection Engineering チームが、フォローアップ活動を検出するためのさまざまな行動検出を用意
Sophos XDR で影響を判断する
Sophos XDR を使用すると、ホストが脅威アクターのインフラと通信しているかどうかを判断することができます。カスタムクエリを作成しましたので、こちらでご覧ください。
詳細情報
この攻撃に関するさらなる考察は、Sophos X-Ops の こちら の記事をご覧ください。
また、3CX ソフトウェアのユーザーは、同社の ブログ と サポートフォーラム を監視することをお勧めします。