2023年3月29日、CrowdStrike は北朝鮮を拠点とした攻撃グループが 3CX DesktopApp を通じてサプライチェーン攻撃を実行したと紹介した。[1] 攻撃者はこれを利用して情報窃取型マルウェアをインストールしていた。
AhnLab Security Emergency response Center(ASEC)では以下のブログを通して 3CX DesktopApp を通じたサプライチェーン攻撃が発生したことを知らせ、対策ガイドを紹介したことがある。[2] 本記事では攻撃に使用されたマルウェアの解析情報と当社の AhnLab Smart Defense(ASD) ログで確認された韓国国内の感染内容を公開する。
韓国国内の確認ログ
以下はサプライチェーン攻撃が周知される前に確認された当社 ASD のログである。3月9日には18.12.407バージョンの 3CX Electron Windows App インストールログが、3月15日には18.12.416バージョンのインストールログが確認され、対象となった場所は韓国国内の某大学であると確認された。
マルウェア解析
攻撃者は Windows ユーザーと MAC ユーザーを攻撃対象としており、そのため Windows 環境と MAC 環境で動作する 3CX DesktopApp のインストールファイルにマルウェアを挿入していた。マルウェアが挿入されたインストールファイルをユーザーがインストールすると、内部にエンコードされて保存されていたマルウェアがメモリ上で動作し、追加のマルウェアをインストールする。
Windows
Windows 環境では MSI インストーラーがインストールファイルであり、内部に含まれた「ffmpeg.dll」、「d3dcompiler_47.dll」が実質的なマルウェアである。インストールが終了した後に実行される「3CXDesktopApp.exe」は、同じパスに存在する「ffmpeg.dll」ファイルをロードする。「ffmpeg.dll」は正常なファイルに偽装しているが、実際にはローダーマルウェアであり、「d3dcompiler_47.dll」ファイルを読み込んで復号化して、メモリ上で実行する機能を担っている。「d3dcompiler_47.dll」ファイルもまた正常なファイルであるが、後半部分にエンコードされたデータが含まれている。
Figure 2. フロー図
「ffmpeg.dll」は「d3dcompiler_47.dll」で「FE ED FA CE FE ED FA CE」シグネチャを探すが、これにはエンコードされたデータが含まれている。エンコードされたデータを復号化するとシェルコードが存在し、メモリ上でダウンローダー機能を担うマルウェアを実行させる。
ダウンローダーマルウェアは GitHub アドレスで ico ファイルをダウンロードする。アドレスは以下の通りであり、icon1.ico から icon15.ico までがランダムに使用される。
- ダウンロードアドレス:hxxps://raw.githubusercontent[.]com/IconStorages/images/main/icon[数字].ico
解析時点ではダウンロードが不可能であったが、攻撃に使用されたことが知られている ico ファイルは以下の通りである。
ico ファイルの後半部分には実際の C&C サーバーのアドレスがエンコードされて存在し、これを復号化すると実際の C&C サーバーのアドレスを確認できる。ダウンローダーは ico ファイルの後半部分から「$」シグネチャを検索した後、エンコードされた文字列を探して復号化する。
正常な URL が含まれた「icon0.ico」ファイルを除き、「icon10.ico」と「icon11.ico」が同じであることを鑑みると、16個の ico ファイルに存在する C&C サーバーのアドレスは全部で14個である。ダウンローダーは復号化したアドレスに接続し、追加のマルウェアをダウンロードして実行することでインフォスティーラーをインストールできることが分かっている。[3]
MAC
MAC 環境では攻撃者が DMG インストーラーにマルウェアを挿入していた。インストーラーの内部に存在する共有ライブラリファイルのうち、libffmpeg.dylib ファイルには C&C アドレスが XOR でエンコードされて保存されている。
確認された C&C アドレスの大半は上記の Windows 環境と類似している。
以下のブログで攻撃に使用された製品のバージョンと解決方法などの対策ガイドを確認できる。
検知名
– Dropper/MSI.Agent (2023.03.31.00)
– Trojan/Win.Loader.C5403102 (2023.03.31.00)
– Trojan/Win.Agent.C5403110 (2023.03.31.00)
– Trojan/Win.Loader.C5403103 (2023.03.31.00)
– Data/BIN.Encoded (2023.04.03.03)
– Infostealer/Win.Agent.C5403954 (2023.04.02.00)
– Data/BIN.Encoded (2023.03.31.01)
– Trojan/OSX.Agent (2023.03.31.01)
– Trojan/OSX.Loader (2023.04.03.03)
IOC
SHA-256
– 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 – MSI
– aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 – MSI
– 7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896 – ffmpeg.dll
– c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02 – ffmpeg.dll
– 11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03 – d3dcompiler.dll
– aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973 – Downloader
– 8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423 – InfoStealer
– 5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290 – DMG
– e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec – DMG
– fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7 – libffmpeg.dylib
– a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67 – libffmpeg.dylib
– 5009c7d1590c1f8c05827122172583ddf924c53b55a46826abf66da46725505a – libffmpeg.dylib
– 87c5d0c93b80acf61d24e7aaf0faae231ab507ca45483ad3d441b5d1acebc43c – libffmpeg.dylib
ダウンローダー URL
– hxxps://raw.githubusercontent[.]com/IconStorages/images/main/icon[숫자].ico
C&C アドレス – WIndows
– hxxps://msstorageazure[.]com/window
– hxxps://officestoragebox[.]com/api/session
– hxxps://visualstudiofactory[.]com/workload
– hxxps://azuredeploystore[.]com/cloud/services
– hxxps://msstorageboxes[.]com/office
– hxxps://officeaddons[.]com/technologies
– hxxps://sourceslabs[.]com/downloads
– hxxps://zacharryblogs[.]com/feed
– hxxps://pbxcloudeservices[.]com/phonesystem
– hxxps://akamaitechcloudservices[.]com/v2/storage
– hxxps://azureonlinestorage[.]com/azure/storage
– hxxps://msedgepackageinfo[.]com/microsoft-edge
– hxxps://glcloudservice[.]com/v1/console
– hxxps://pbxsources[.]com/exchange
C&C アドレス – MAC
– msstorageazure[.]com/analysis
– officestoragebox[.]com/api/biosync
– visualstudiofactory[.]com/groupcore
– azuredeploystore[.]com/cloud/images
– msstorageboxes[.]com/xbox
– officeaddons[.]com/quality
– sourceslabs[.]com/status
– zacharryblogs[.]com/xmlquery
– pbxcloudeservices[.]com/network
– pbxphonenetwork[.]com/phone
– akamaitechcloudservices[.]com/v2/fileapi
– azureonlinestorage[.]com/google/storage
– msedgepackageinfo[.]com/ms-webview
– glcloudservice[.]com/v1/status
– pbxsources[.]com/queue
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報
[…] Lazarus グループは初期侵入のために共同認証書の脆弱性、3CX サプライチェーン攻撃等、様々な攻撃ベクトルを使用する非常に脅威的であり、全世界的に活発な活動を見せている攻撃グループの一つである。したがって、企業のセキュリティ担当者は攻撃対象領域管理(Attack Surface Management)を通じて、攻撃対象にさらされる可能性がある資産を識別し、持続的に最新のセキュリティパッチ等の管理を行わなければならない。 […]