2023年3月29日、CrowdStrike は北朝鮮を拠点とした攻撃グループが 3CX DesktopApp を通じてサプライチェーン攻撃を実行したと紹介した。[1] 攻撃者はこれを利用して情報窃取型マルウェアをインストールしていた。
AhnLab Security Emergency response Center(ASEC)では以下のブログを通して 3CX DesktopApp を通じたサプライチェーン攻撃が発生したことを知らせ、対策ガイドを紹介したことがある。[2] 本記事では攻撃に使用されたマルウェアの解析情報と当社の AhnLab Smart Defense(ASD) ログで確認された韓国国内の感染内容を公開する。
韓国国内の確認ログ
以下はサプライチェーン攻撃が周知される前に確認された当社 ASD のログである。3月9日には18.12.407バージョンの 3CX Electron Windows App インストールログが、3月15日には18.12.416バージョンのインストールログが確認され、対象となった場所は韓国国内の某大学であると確認された。
マルウェア解析
攻撃者は Windows ユーザーと MAC ユーザーを攻撃対象としており、そのため Windows 環境と MAC 環境で動作する 3CX DesktopApp のインストールファイルにマルウェアを挿入していた。マルウェアが挿入されたインストールファイルをユーザーがインストールすると、内部にエンコードされて保存されていたマルウェアがメモリ上で動作し、追加のマルウェアをインストールする。
Windows
Windows 環境では MSI インストーラーがインストールファイルであり、内部に含まれた「ffmpeg.dll」、「d3dcompiler_47.dll」が実質的なマルウェアである。インストールが終了した後に実行される「3CXDesktopApp.exe」は、同じパスに存在する「ffmpeg.dll」ファイルをロードする。「ffmpeg.dll」は正常なファイルに偽装しているが、実際にはローダーマルウェアであり、「d3dcompiler_47.dll」ファイルを読み込んで復号化して、メモリ上で実行する機能を担っている。「d3dcompiler_47.dll」ファイルもまた正常なファイルであるが、後半部分にエンコードされたデータが含まれている。
Figure 2. フロー図
「ffmpeg.dll」は「d3dcompiler_47.dll」で「FE ED FA CE FE ED FA CE」シグネチャを探すが、これにはエンコードされたデータが含まれている。エンコードされたデータを復号化するとシェルコードが存在し、メモリ上でダウンローダー機能を担うマルウェアを実行させる。
ダウンローダーマルウェアは GitHub アドレスで ico ファイルをダウンロードする。アドレスは以下の通りであり、icon1.ico から icon15.ico までがランダムに使用される。
- ダウンロードアドレス:hxxps://raw.githubusercontent[.]com/IconStorages/images/main/icon[数字].ico
解析時点ではダウンロードが不可能であったが、攻撃に使用されたことが知られている ico ファイルは以下の通りである。
ico ファイルの後半部分には実際の C&C サーバーのアドレスがエンコードされて存在し、これを復号化すると実際の C&C サーバーのアドレスを確認できる。ダウンローダーは ico ファイルの後半部分から「$」シグネチャを検索した後、エンコードされた文字列を探して復号化する。
正常な URL が含まれた「icon0.ico」ファイルを除き、「icon10.ico」と「icon11.ico」が同じであることを鑑みると、16個の ico ファイルに存在する C&C サーバーのアドレスは全部で14個である。ダウンローダーは復号化したアドレスに接続し、追加のマルウェアをダウンロードして実行することでインフォスティーラーをインストールできることが分かっている。[3]
MAC
MAC 環境では攻撃者が DMG インストーラーにマルウェアを挿入していた。インストーラーの内部に存在する共有ライブラリファイルのうち、libffmpeg.dylib ファイルには C&C アドレスが XOR でエンコードされて保存されている。
確認された C&C アドレスの大半は上記の Windows 環境と類似している。
以下のブログで攻撃に使用された製品のバージョンと解決方法などの対策ガイドを確認できる。
検知名
– Dropper/MSI.Agent (2023.03.31.00)
– Trojan/Win.Loader.C5403102 (2023.03.31.00)
– Trojan/Win.Agent.C5403110 (2023.03.31.00)
– Trojan/Win.Loader.C5403103 (2023.03.31.00)
– Data/BIN.Encoded (2023.04.03.03)
– Infostealer/Win.Agent.C5403954 (2023.04.02.00)
– Data/BIN.Encoded (2023.03.31.01)
– Trojan/OSX.Agent (2023.03.31.01)
– Trojan/OSX.Loader (2023.04.03.03)
IOC
SHA-256
– 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 – MSI
– aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 – MSI
– 7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896 – ffmpeg.dll
– c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02 – ffmpeg.dll
– 11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03 – d3dcompiler.dll
– aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973 – Downloader
– 8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423 – InfoStealer
– 5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290 – DMG
– e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec – DMG
– fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7 – libffmpeg.dylib
– a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67 – libffmpeg.dylib
– 5009c7d1590c1f8c05827122172583ddf924c53b55a46826abf66da46725505a – libffmpeg.dylib
– 87c5d0c93b80acf61d24e7aaf0faae231ab507ca45483ad3d441b5d1acebc43c – libffmpeg.dylib
ダウンローダー URL
– hxxps://raw.githubusercontent[.]com/IconStorages/images/main/icon[숫자].ico
C&C アドレス – WIndows
– hxxps://msstorageazure[.]com/window
– hxxps://officestoragebox[.]com/api/session
– hxxps://visualstudiofactory[.]com/workload
– hxxps://azuredeploystore[.]com/cloud/services
– hxxps://msstorageboxes[.]com/office
– hxxps://officeaddons[.]com/technologies
– hxxps://sourceslabs[.]com/downloads
– hxxps://zacharryblogs[.]com/feed
– hxxps://pbxcloudeservices[.]com/phonesystem
– hxxps://akamaitechcloudservices[.]com/v2/storage
– hxxps://azureonlinestorage[.]com/azure/storage
– hxxps://msedgepackageinfo[.]com/microsoft-edge
– hxxps://glcloudservice[.]com/v1/console
– hxxps://pbxsources[.]com/exchange
C&C アドレス – MAC
– msstorageazure[.]com/analysis
– officestoragebox[.]com/api/biosync
– visualstudiofactory[.]com/groupcore
– azuredeploystore[.]com/cloud/images
– msstorageboxes[.]com/xbox
– officeaddons[.]com/quality
– sourceslabs[.]com/status
– zacharryblogs[.]com/xmlquery
– pbxcloudeservices[.]com/network
– pbxphonenetwork[.]com/phone
– akamaitechcloudservices[.]com/v2/fileapi
– azureonlinestorage[.]com/google/storage
– msedgepackageinfo[.]com/ms-webview
– glcloudservice[.]com/v1/status
– pbxsources[.]com/queue
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報