3CX DesktopApp サプライチェーン攻撃、韓国国内でも確認

2023年3月29日、CrowdStrike は北朝鮮を拠点とした攻撃グループが 3CX DesktopApp を通じてサプライチェーン攻撃を実行したと紹介した。[1] 攻撃者はこれを利用して情報窃取型マルウェアをインストールしていた。

AhnLab Security Emergency response Center(ASEC)では以下のブログを通して 3CX DesktopApp を通じたサプライチェーン攻撃が発生したことを知らせ、対策ガイドを紹介したことがある。[2] 本記事では攻撃に使用されたマルウェアの解析情報と当社の AhnLab Smart Defense(ASD) ログで確認された韓国国内の感染内容を公開する。

韓国国内の確認ログ

以下はサプライチェーン攻撃が周知される前に確認された当社 ASD のログである。3月9日には18.12.407バージョンの 3CX Electron Windows App インストールログが、3月15日には18.12.416バージョンのインストールログが確認され、対象となった場所は韓国国内の某大学であると確認された。

Figure 1. 当社の ASD ログで確認されたインストールログ

マルウェア解析

攻撃者は Windows ユーザーと MAC ユーザーを攻撃対象としており、そのため Windows 環境と MAC 環境で動作する 3CX DesktopApp のインストールファイルにマルウェアを挿入していた。マルウェアが挿入されたインストールファイルをユーザーがインストールすると、内部にエンコードされて保存されていたマルウェアがメモリ上で動作し、追加のマルウェアをインストールする。

Windows

Windows 環境では MSI インストーラーがインストールファイルであり、内部に含まれた「ffmpeg.dll」、「d3dcompiler_47.dll」が実質的なマルウェアである。インストールが終了した後に実行される「3CXDesktopApp.exe」は、同じパスに存在する「ffmpeg.dll」ファイルをロードする。「ffmpeg.dll」は正常なファイルに偽装しているが、実際にはローダーマルウェアであり、「d3dcompiler_47.dll」ファイルを読み込んで復号化して、メモリ上で実行する機能を担っている。「d3dcompiler_47.dll」ファイルもまた正常なファイルであるが、後半部分にエンコードされたデータが含まれている。

Figure 2. フロー図

「ffmpeg.dll」は「d3dcompiler_47.dll」で「FE ED FA CE FE ED FA CE」シグネチャを探すが、これにはエンコードされたデータが含まれている。エンコードされたデータを復号化するとシェルコードが存在し、メモリ上でダウンローダー機能を担うマルウェアを実行させる。

Figure 3. d3dcompiler_47.dll に挿入されているエンコードされたデータ

ダウンローダーマルウェアは GitHub アドレスで ico ファイルをダウンロードする。アドレスは以下の通りであり、icon1.ico から icon15.ico までがランダムに使用される。

  • ダウンロードアドレス:hxxps://raw.githubusercontent[.]com/IconStorages/images/main/icon[数字].ico

解析時点ではダウンロードが不可能であったが、攻撃に使用されたことが知られている ico ファイルは以下の通りである。

Figure 4. 攻撃に使用されたことが分かっている ico ファイル

ico ファイルの後半部分には実際の C&C サーバーのアドレスがエンコードされて存在し、これを復号化すると実際の C&C サーバーのアドレスを確認できる。ダウンローダーは ico ファイルの後半部分から「$」シグネチャを検索した後、エンコードされた文字列を探して復号化する。

Figure 5. ico ファイルの後半に挿入されているエンコードされたデータ
Figure 6. 復号化された C&C アドレス

正常な URL が含まれた「icon0.ico」ファイルを除き、「icon10.ico」と「icon11.ico」が同じであることを鑑みると、16個の ico ファイルに存在する C&C サーバーのアドレスは全部で14個である。ダウンローダーは復号化したアドレスに接続し、追加のマルウェアをダウンロードして実行することでインフォスティーラーをインストールできることが分かっている。[3]

MAC

MAC 環境では攻撃者が DMG インストーラーにマルウェアを挿入していた。インストーラーの内部に存在する共有ライブラリファイルのうち、libffmpeg.dylib ファイルには C&C アドレスが XOR でエンコードされて保存されている。

Figure 7. インストーラーに含まれているマルウェアの libffmpeg.dylib

確認された C&C アドレスの大半は上記の Windows 環境と類似している。

Figure 8.  XOR でエンコードされて存在する C&C アドレスのリスト

以下のブログで攻撃に使用された製品のバージョンと解決方法などの対策ガイドを確認できる。

3CX DesktopApp の使用に注意(CVE-2023-29059)

検知名
– Dropper/MSI.Agent (2023.03.31.00)
– Trojan/Win.Loader.C5403102 (2023.03.31.00)
– Trojan/Win.Agent.C5403110 (2023.03.31.00)
– Trojan/Win.Loader.C5403103 (2023.03.31.00)
– Data/BIN.Encoded (2023.04.03.03)
– Infostealer/Win.Agent.C5403954 (2023.04.02.00)
– Data/BIN.Encoded (2023.03.31.01)
– Trojan/OSX.Agent (2023.03.31.01)
– Trojan/OSX.Loader (2023.04.03.03)

IOC
SHA-256
– 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 – MSI
– aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 – MSI
– 7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896 – ffmpeg.dll
– c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02 – ffmpeg.dll
– 11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03 – d3dcompiler.dll
– aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973 – Downloader
– 8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423 – InfoStealer
– 5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290 – DMG
– e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec – DMG
– fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7 – libffmpeg.dylib
– a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67 – libffmpeg.dylib
– 5009c7d1590c1f8c05827122172583ddf924c53b55a46826abf66da46725505a – libffmpeg.dylib
– 87c5d0c93b80acf61d24e7aaf0faae231ab507ca45483ad3d441b5d1acebc43c – libffmpeg.dylib

ダウンローダー URL
– hxxps://raw.githubusercontent[.]com/IconStorages/images/main/icon[숫자].ico

C&C アドレス – WIndows
– hxxps://msstorageazure[.]com/window
– hxxps://officestoragebox[.]com/api/session
– hxxps://visualstudiofactory[.]com/workload
– hxxps://azuredeploystore[.]com/cloud/services
– hxxps://msstorageboxes[.]com/office
– hxxps://officeaddons[.]com/technologies
– hxxps://sourceslabs[.]com/downloads
– hxxps://zacharryblogs[.]com/feed
– hxxps://pbxcloudeservices[.]com/phonesystem
– hxxps://akamaitechcloudservices[.]com/v2/storage
– hxxps://azureonlinestorage[.]com/azure/storage
– hxxps://msedgepackageinfo[.]com/microsoft-edge
– hxxps://glcloudservice[.]com/v1/console
– hxxps://pbxsources[.]com/exchange

C&C アドレス – MAC
– msstorageazure[.]com/analysis
– officestoragebox[.]com/api/biosync
– visualstudiofactory[.]com/groupcore
– azuredeploystore[.]com/cloud/images
– msstorageboxes[.]com/xbox
– officeaddons[.]com/quality
– sourceslabs[.]com/status
– zacharryblogs[.]com/xmlquery
– pbxcloudeservices[.]com/network
– pbxphonenetwork[.]com/phone
– akamaitechcloudservices[.]com/v2/fileapi
– azureonlinestorage[.]com/google/storage
– msedgepackageinfo[.]com/ms-webview
– glcloudservice[.]com/v1/status
– pbxsources[.]com/queue

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

0 0 votes
評価する
Subscribe
Notify of
guest

1 コメント
Inline Feedbacks
View all comments
trackback

[…] Lazarus グループは初期侵入のために共同認証書の脆弱性、3CX サプライチェーン攻撃等、様々な攻撃ベクトルを使用する非常に脅威的であり、全世界的に活発な活動を見せている攻撃グループの一つである。したがって、企業のセキュリティ担当者は攻撃対象領域管理(Attack Surface Management)を通じて、攻撃対象にさらされる可能性がある資産を識別し、持続的に最新のセキュリティパッチ等の管理を行わなければならない。 […]