今年の3月、3CX サプライチェーン侵害事例が世界的に話題となった。AhnLab Security Emergency response Center(ASEC)は、当社 ASD(AhnLab Smart Defense)インフラを通して、韓国国内でも3月9日と3月15日の2回にわたって、3CX サプライチェーン関連マルウェアがインストールされたことを確認した。
今回確認された 3CX サプライチェーンマルウェアは、正常なプロセスである 3CXDesktopApp.exe に、正常な DLL の名前に偽装した不正な DLL である ffmpeg.dll、d3dcompiler_47.dll がロードされて不正な振る舞いを行い、最終的にはダウンローダーシェルコードが 3CXDesktopApp.exe プロセスのメモリ上で実行されていた。解析当時、追加のダウンロードマルウェアは確認されなかったが、情報流出型マルウェアが実行されたことが分かっている。
AhnLab EDR(Endpoint Detection and Response)は、攻撃者が 3CX サプライチェーン攻撃に使用した攻撃技法を検知することができ、侵害事例関連の調査に必要なデータを確認することができる。
以下の[図3]は AhnLab EDR で確認できる 3CX サプライチェーン攻撃関連のプロセスツリーである。
ffmpeg.dll は 3CXDesktopApp.exe がインポートする DLL である([図4]参照)。そのため、3CXDesktopApp.exe が実行される時点で、同じフォルダパスに存在する ffmpeg.dll が 3CXDesktopApp.exe プロセスメモリにロードされる。
ロードされた ffmpeg.dll は、以下の[図5]のように 3CXDesktopApp.exe とともにインストールされた d3dcompiler_47.dll ファイルを読み込み、暗号化されたシェルコードを RC4 で復号化して、メモリ上で実行する機能を持つ。
AhnLab EDR 製品はこのような異常なシェルコード実行方式を検知しており、以下の[図6]は EDR 製品のコンソール画面の[脅威] – [タイムライン]タブで確認できる検知画面である。
攻撃者のシェルコードが実行されると、ペイロードがアップロードされた Github サイトから追加マルウェアをダウンロードして実行する。EDR 製品は 3CXDesktopApp.exe がアクセスしたダウンロードアドレス情報を保存しているため、EDR 運営担当者は EDR コンソールの[脅威] – [ダイアグラム]でマルウェアの配布元情報を確認できる。
AhnLab V3、EDR 製品では 3CX サプライチェーン脅威について、以下のような検知名で検知している。
[ファイル検知]
Dropper/MSI.Agent
Trojan/Win.Loader.C5403102
Trojan/Win.Agent.C5403110
Trojan/Win.Loader.C5403103
Infostealer/Win.Agent.C5403954
Trojan/BIN.Agent
Data/BIN.Encoded
Trojan/OSX.Agent
Trojan/OSX.Loader
[ビヘイビア検知]
[V3]
Connection/MDP.Event.M4581
Connection/MDP.Event.M11026
Exploit/MDP.Event.M11027
[EDR]
Fileless/EDR.Event.M11072
[IOC]
59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983
aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868
fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405
dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc
7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896
c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02
11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03
aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973
4e08e4ffc699e0a1de4a5225a0b4920933fbb9cf123cde33e1674fde6d61444f
8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423
5a017652531eebfcef7011c37a04f11621d89084f8f9507201f071ce359bea3f
5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290
e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec
fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7
a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67
5009c7d1590c1f8c05827122172583ddf924c53b55a46826abf66da46725505a
87c5d0c93b80acf61d24e7aaf0faae231ab507ca45483ad3d441b5d1acebc43c
210c9882eba94198274ebc787fe8c88311af24932832a7fe1f1ca0261f815c3d
a541e5fc421c358e0a2b07bf4771e897fb5a617998aa4876e0e1baa5fbb8e25c
2c9957ea04d033d68b769f333a48e228c32bcf26bd98e51310efd48e80c1789f
268d4e399dbbb42ee1cd64d0da72c57214ac987efbb509c46cc57ea6b214beca
c62dce8a77d777774e059cf1720d77c47b97d97c3b0cf43ade5d96bf724639bd
c13d49ed325dec9551906bafb6de9ec947e5ff936e7e40877feb2ba4bb176396
f1bf4078141d7ccb4f82e3f4f1c3571ee6dd79b5335eb0e0464f877e6e6e3182
2487b4e3c950d56fb15316245b3c51fbd70717838f6f82f32db2efcc4d9da6de
e059c8c8b01d6f3af32257fc2b6fe188d5f4359c308b3684b1e0db2071c3425c
d0f1984b4fe896d0024533510ce22d71e05b20bad74d53fae158dc752a65782e
d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090
d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090
d51a790d187439ce030cf763237e992e9196e9aa41797a94956681b6279d1b9a
4e08e4ffc699e0a1de4a5225a0b4920933fbb9cf123cde33e1674fde6d61444f
8c0b7d90f14c55d4f1d0f17e0242efd78fd4ed0c344ac6469611ec72defa6b2d
f47c883f59a4802514c57680de3f41f690871e26f250c6e890651ba71027e4d3
akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
dunamistrd[.]com
glcloudservice[.]com
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
visualstudiofactory[.]com
zacharryblogs[.]com
hxxps://raw.githubusercontent[.]com/IconStorages/images/main/icon[数字].ico
3CX サプライチェーン脅威関連の MITRE ATT&CK マッピングは以下の通りである。
– T1574.002 : Hijack Execution Flow: DLL Side-Loading
– T1012 : Query Registry
– T1071.001 : Application Layer Protocol: Web Protocols
振る舞い情報検知および解析を通じたエンドポイント可視性を提供し、脅威を能動的に追跡する AhnLab EDR についての詳しい情報は AhnLab の公式 HP で確認できる。
Categories:AhnLab 検知