3CX DesktopApp 공급망 공격, 국내에서도 확인

2023년 3월 29일 CrowdStrike는 북한 기반의 공격 그룹이 3CX DesktopApp을 통해 공급망 공격을 수행한 사실을 소개하였다. [1] 공격자는 이를 이용해 정보 탈취 악성코드를 설치하였다.

AhnLab Security Emergency response Center(ASEC)에서는 다음 블로그를 통해 3CX DesktopApp을 통한 공급망 공격 발생 사실을 알리고 조치 가이드를 소개한 바 있다. [2] 본 글에서는 공격에 사용된 악성코드들에 대한 분석 정보와 자사 AhnLab Smart Defense(ASD) 로그를 통해 확인된 국내 감염 내역을 알리려한다.


국내 확인 로그

다음은 공급망 공격이 알려지기 이전에 확인된 자사 ASD(AhnLab Smart Defense) 로그이다. 3월 9일에는 18.12.407 버전의 3CX Electron Windows App 설치 로그가, 3월 15일에는 18.12.416 버전의 설치 로그가 확인되며 대상이 된 곳은 국내 모 대학교로 확인되었다.

Figure 1. 자사 ASD 로그에서 확인된 설치 로그

악성코드 분석

공격자는 WIndows 사용자와 MAC 사용자들을 공격 대상으로 하였으며, 이를 위해 윈도우 환경과 MAC 환경에서 동작하는 3CX DesktopApp 설치 파일에 악성코드를 삽입하였다. 사용자가 악성코드가 삽입된 설치 파일을 설치할 경우 내부에 인코딩되어 저장된 악성코드 메모리 상에서 동작하며 추가 악성코드를 설치한다.


Windows

윈도우 환경에서는 MSI 인스톨러가 설치 파일이며, 내부에 포함된 “ffmpeg.dll”, “d3dcompiler_47.dll”이 실질적인 악성코드이다. 설치가 끝난 이후 실행되는 “3CXDesktopApp.exe”는 동일 경로에 존재하는 “ffmpeg.dll” 파일을 로드한다. “ffmpeg.dll”는 정상 파일로 위장하였지만 실제로는 로더 악성코드로서, “d3dcompiler_47.dll” 파일을 읽어와 복호화 하여 메모리 상에서 실행하는 기능을 담당한다. “d3dcompiler_47.dll” 파일 또한 정상 파일이지만 뒷부분에 인코딩된 데이터가 포함되어 있다.

Figure 2. 흐름도

“ffmpeg.dll”는 “d3dcompiler_47.dll”에서 “FE ED FA CE FE ED FA CE” 시그니처를 찾는데, 여기에는 인코딩된 데이터가 포함되어 있다. 인코딩된 데이터를 복호화 하면 쉘코드가 존재하며 메모리 상에서 다운로더 기능을 담당하는 악성코드를 실행시킨다.

Figure 3. d3dcompiler_47.dll에 삽입된 인코딩된 데이터

다운로더 악성코드는 깃허브 주소에서 ico 파일을 다운로드한다. 주소는 다음과 같으며 icon1.ico 부터 icon15.ico 까지가 랜덤하게 선택되어 사용된다.

  • 다운로드 주소 : hxxps://raw.githubusercontent[.]com/IconStorages/images/main/icon[숫자].ico

분석 시점 기준 다운로드는 불가하였지만 공격에 사용된 것으로 알려진 ico 파일들은 다음과 같다.

Figure 4. 공격에 사용된 것으로 알려진 ico 파일들

ico 파일의 뒷부분에는 실제 C&C 서버의 주소들이 인코딩되어 존재하며, 이를 복호화 할 경우 실제 C&C 서버 주소가 확인된다. 다운로더는 ico 파일의 뒷부분에서 “$” 시그니처를 검색한 후 인코딩된 문자열을 찾아 복호화 한다.

Figure 5. ico 파일 뒤에 삽입된 인코딩된 데이터
Figure 6. 복호화 된 C&C 주소

정상 URL이 포함된 “icon0.ico” 파일을 제외하고, “icon10.ico”와 “icon11.ico”가 동일한 것을 감안하면 16개의 ico 파일들 중에서 C&C 서버의 주소는 모두 14개이다. 다운로더는 복호화 한 주소에 접속하여 추가적인 악성코드를 다운로드해 실행할 수 있으며, 인포스틸러를 설치한 것으로 알려져 있다. [3]


MAC

MAC 환경에서는 공격자가 DMG 설치 파일에 악성코드를 삽입하였다. 설치 파일 내부에 존재하는 공유 라이브러리 파일들 중 libffmpeg.dylib 파일에는 C&C 주소가 XOR 인코딩되어 저장되어 있다.

Figure 7. 인스톨러에 포함된 악성코드 libffmpeg.dylib

확인된 C&C 주소 대부분은 위의 윈도우 환경과 유사하다.

Figure 8. XOR 인코딩되어 존재하는 C&C 주소 목록

다음 블로그에서 공격에 사용된 제품 버전과 해결 방안 등 조치 가이드를 확인할 수 있다.

진단명
– Dropper/MSI.Agent (2023.03.31.00)
– Trojan/Win.Loader.C5403102 (2023.03.31.00)
– Trojan/Win.Agent.C5403110 (2023.03.31.00)
– Trojan/Win.Loader.C5403103 (2023.03.31.00)
– Data/BIN.Encoded (2023.04.03.03)
– Infostealer/Win.Agent.C5403954 (2023.04.02.00)
– Data/BIN.Encoded (2023.03.31.01)
– Trojan/OSX.Agent (2023.03.31.01)
– Trojan/OSX.Loader (2023.04.03.03)

IOC
SHA-256
– 59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 – MSI
– aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 – MSI
– 7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896 – ffmpeg.dll
– c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02 – ffmpeg.dll
– 11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03 – d3dcompiler.dll
– aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973 – Downloader
– 8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423 – InfoStealer
– 5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290 – DMG
– e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec – DMG
– fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7 – libffmpeg.dylib
– a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67 – libffmpeg.dylib
– 5009c7d1590c1f8c05827122172583ddf924c53b55a46826abf66da46725505a – libffmpeg.dylib
– 87c5d0c93b80acf61d24e7aaf0faae231ab507ca45483ad3d441b5d1acebc43c – libffmpeg.dylib

다운로더 URL
– hxxps://raw.githubusercontent[.]com/IconStorages/images/main/icon[숫자].ico

C&C 주소 – WIndows
– hxxps://msstorageazure[.]com/window
– hxxps://officestoragebox[.]com/api/session
– hxxps://visualstudiofactory[.]com/workload
– hxxps://azuredeploystore[.]com/cloud/services
– hxxps://msstorageboxes[.]com/office
– hxxps://officeaddons[.]com/technologies
– hxxps://sourceslabs[.]com/downloads
– hxxps://zacharryblogs[.]com/feed
– hxxps://pbxcloudeservices[.]com/phonesystem
– hxxps://akamaitechcloudservices[.]com/v2/storage
– hxxps://azureonlinestorage[.]com/azure/storage
– hxxps://msedgepackageinfo[.]com/microsoft-edge
– hxxps://glcloudservice[.]com/v1/console
– hxxps://pbxsources[.]com/exchange

C&C 주소 – MAC
– msstorageazure[.]com/analysis
– officestoragebox[.]com/api/biosync
– visualstudiofactory[.]com/groupcore
– azuredeploystore[.]com/cloud/images
– msstorageboxes[.]com/xbox
– officeaddons[.]com/quality
– sourceslabs[.]com/status
– zacharryblogs[.]com/xmlquery
– pbxcloudeservices[.]com/network
– pbxphonenetwork[.]com/phone
– akamaitechcloudservices[.]com/v2/fileapi
– azureonlinestorage[.]com/google/storage
– msedgepackageinfo[.]com/ms-webview
– glcloudservice[.]com/v1/status
– pbxsources[.]com/queue

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

5 1 vote
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments