EDR을 활용한 3CX 공급망 침해 사고 추적 Posted By muhan , 2023년 4월 28일 지난 3월, 3CX 공급망 침해 사고가 전 세계적으로 큰 이슈가 되었다. AhnLab Security Emergency response Center(ASEC)은 자사 ASD(AhnLab Smart Defense) 인프라를 통해 국내에서도 3월 9일, 3월 15일 두 차례 3CX 공급망 관련 악성코드가 설치됨을 확인하였다. 이번에 확인된 3CX 공급망 악성코드는 정상 프로세스인 3CXDesktopApp.exe에 정상 DLL 이름으로 위장한 악성 DLL인 ffmpeg.dll, d3dcompiler_47.dll가 로드되어 악성 행위를 하였으며 최종적으로 다운로더 쉘코드가 3CXDesktopApp.exe 프로세스의 메모리 상에서 실행되었다. 분석 당시 추가 다운로드 악성코드는 확인되지 않았지만, 정보 유출형 악성코드가 실행된 것으로 알려져 있다. 안랩 EDR(Endpoint Detection…
3CX DesktopApp 사용 주의 (CVE-2023-29059) Posted By choeyul , 2023년 4월 3일 개요 3CX DesktopApp을 통해 공급망 공격이 이루어졌다는 내용이 공개되었다.[1] 해당 소프트웨어는 통화, 화상 회의 등 사용자에게 여러 통신 기능을 제공하며 Windows, MAC 운영체제 환경에서 구동이 가능하다. 현재 3CX 업체에서는 새로운 인증서를 발급하기 위하여 준비 중이며 그 전까지는 다른 소프트웨어를 대체하여 사용할 것을 가이드하고 있다. 설명 관련하여 유포된 악성코드는 악의적인 기능을 수행하는 모듈들을 포함한 MSI, DMG 형태의 설치 파일인 것으로 확인된다. 3CXDesktopApp.exe가 악성 모듈인 ffmpeg.dll을 로드하고, 이후 d3dcompiler.dll를 추가 로드하여 메모리 상에서 실행한다. 메모리 상에서 실행되는 악성코드는 다운로더로서 최종적으로 정보 탈취형…
