Posted: 5 Min ReadJapanese
Original Post: English

3CX: サプライチェーン攻撃、世界中で数多くのユーザーに影響

複数バージョンの3CX DesktopAppがトロイの木馬に感染。北朝鮮の国家支援型アクターが関与か

202333114:26UTC)更新インフォスティーラの最終ペイロードを検出するYaraルールに関する最新情報が掲載されました。

202333017:39UTC)更新macOSバージョンの技術的分析に関する最新情報が掲載されました。

202333014:17UTC)更新IOCの追加に関する最新情報が掲載されました。

202333012:47UTC)更新IOCと保護情報の追加に関する最新情報が掲載されました。

202333009:07UTC)更新使用されたマルウェアの技術的分析に関する最新情報が掲載されました。

音声およびビデオ通話のデスクトップクライアントとして幅広く利用されている3CX DesktopAppが攻撃を受け、トロイの木馬に感染しました。攻撃者は北朝鮮との繋がりが疑われています。攻撃はSolarWindsを思い起こさせるを彷彿とさせるもので、WindowsおよびMacの複数の最新バージョンでソフトウェアのインストーラが攻撃者により侵害および修正され、追加情報を盗むマルウェアがユーザーのコンピュータに配布されるようになっています。攻撃者は、マルウェアで収集した情報を元に、被害者がさらに侵害するに値するかどうかを判断していたと考えられます。

攻撃チェーン

攻撃者により3CX DesktopAppのインストーラファイルが侵害されたことに関し、Windowsでは少なくとも2つのバージョン(18.12.407および18.12.416)、Macでは2つのバージョン(8.11.1213および最新バージョン)が該当すると言われています。インストーラには、悪意のあるDLLと併せてアプリのクリーンバージョンが含まれていました。このアプリで悪意のあるDLLがサイドロードされ、情報搾取マルウェアがコンピュータにインストールされました。   

シマンテックで分析された2つの亜種(SHA256: aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868および59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983)では、クリーンな実行ファイルで悪意のあるDLL「ffmpeg.dll」(SHA256: 7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896)がロードされました。

このDLLには、2番目のDLL「d3dcompiler_47.dll」(SHA256: 11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03)がロードされました。

「D3dcompiler_47.dll」には、暗号化されたBlobがファイルに追加されています。これは、トロイの木馬に感染した正規ファイルである可能性を示しています。Blobは16進値「FEEDFACE」で始まり、ローダーはこの値を使用してBlobを検索します。復号化されたBlobには、シェルコードと3番目のDLL(SHA256: aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973)が含まれています。

シェルコードが3番目のDLLをロードおよび実行し、次のパラメータでDLLGetClassObjectをエクスポートします:

  • 1200 2400 "Mozilla/5.0(Windows NT 10.0、Win64、x64)
  • AppleWebKit/537.36(KHTML、like Gecko) 3CXDesktopApp/18.11.1197
  • Chrome/102.0.5005.167 Electron/19.1.9 Safari/537.36”

次に、下記のGitHubのリポジトリからICOファイルのダウンロードを試みます:

  • https://raw.githubusercontent[].com/IconStorages/images/main/icon%d.ico

Macのバージョン

影響を受けたソフトウェアのうち、少なくとも2つのmacOSバージョンが同様の方法で侵害されました。今回は、ダイナミックライブラリ「libffmpeg.dylib」がトロイの木馬に感染しました。このファイルには少なくとも2つの亜種(SHA256: a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67およびfee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7)が存在し、異なるバージョンのソフトウェアと関連しているように見えます。

悪意のあるコードは、libffmpeg.dylibのInitFunc_0関数にあり、_run_avcodecを呼び出してスレッドを開始します。このスレッドでは、XORキー「0x7A」でシェルコードをデコードし、HTTPリクエストを行います。

ペイロードのダウンロードは、次の場所から試行されます:

  • URL: https://msstorageazure[.]com/analysis
  • User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.128 Safari/537.36

分析された亜種には、次のURLが埋め込まれていました。

  • officestoragebox[.]com/api/biosync
  • visualstudiofactory[.]com/groupcore
  • azuredeploystore[.]com/cloud/images
  • msstorageboxes[.]com/xbox
  • officeaddons[.]com/quality
  • sourceslabs[.]com/status
  • zacharryblogs[.]com/xmlquery
  • pbxcloudeservices[.]com/network
  • pbxphonenetwork[.]com/phone
  • akamaitechcloudservices[.]com/v2/fileapi
  • azureonlinestorage[.]com/google/storage
  • msedgepackageinfo[.]com/ms-webview
  • glcloudservice[.]com/v1/status
  • pbxsources[.]com/queue

被害を軽減するために

3CXはこの侵害を認識しており、すぐにアプリをアンインストールするようにユーザーに通知しています。ソフトウェアのアップデート中であることが伝えられ、数時間以内にリリースされることになります。クリーンバージョンのDesktopAppがリリースされるまでの間、代替手段として、同社のPWAクライアントの利用を検討するようユーザーに助言しています。

保護

ファイルベース

  • インフォスティーラ
  • トロイの木馬
  • Trojan.Dropper
  • Trojan.Malfilter
  • WS.Malware.2
  • OSX.Samsis
  • Trojan.Samsis

機械学習ベース

  • Heur.AdvML.A
  • Heur.AdvML.B

ネットワークベース

  • Malicious Site: Malicious Domain Request
  • Malicious Site: Malicious Domain Request 59
  • Web Attack: WebPulse Bad Reputation Domain Request

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

最終的なインフォスティーラのペイロードを検出するYaraルール

rule icon_3cx_stealer {

 

    meta:

        copyright = "Symantec"

        description = "Infostealer component used in 3CX supply chain attack"

          

    strings:

        $a1 = "******************************** %s ******************************" wide fullword

        $a2 = "\\3CXDesktopApp\\config.json" wide fullword

        $a3 = { 7B 00 22 00 48 00 6F 00 73 00 74 00 4E 00 61 00 6D 00 65 00 22 00 3A 00 20 00 22 00 25 00 73 00 22 00 2C 00 20 00 22 00 44 00 6F 00 6D 00 61 00 69 00 6E 00 4E 00 61 00 6D 00 65 00 22 00 3A 00 20 00 22 00 25 00 73 00 22 00 2C 00 20 00 22 00 4F 00 73 00 56 00 65 00 72 00 73 00 69 00 6F 00 6E 00 22 00 3A 00 20 00 22 00 25 00 64 00 2E 00 25 00 64 00 2E 00 25 00 64 00 22 00 7D }

        $b1 = "HostName: %s" wide fullword

        $b2 = "DomainName: %s" wide fullword

        $b3 = "OsVersion: %d.%d.%d" wide fullword

        $b4 = "%s.old" wide fullword

 

    condition:

        3 of ($a*) and 2 of ($b*)

}

カスタムのYaraルールを使用したSEPクライアントコンピュータのスキャンについて、詳細はこのナレッジベースの記事を参照してください。

侵害の痕跡

dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc-Windowsアプリ

aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868-Windowsインストーラ

fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405-Windowsアプリ

59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983-Windowsインストーラ

92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61-macOSアプリ

5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290-macOSインストーラ

b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb-macOSアプリ

e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec-macOSインストーラ

11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03-インフォスティーラ(d3dcompiler_47.dll)

7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896-インフォスティーラ(ffmpeg.dll)

aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973-インフォスティーラ 

c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02-インフォスティーラ(ffmpeg.dll)

fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caaa676f58086c99561382d7-悪意のあるmacOSライブラリ(libffmpeg.dylib)

a64fa9f1c76457ecc58402142a8728ce34cba378c17318b3340083eb7acc67-悪意のあるmacOSライブラリ(libffmpeg.dylib)

210c9882eba94198274ebc787fe8c88311af24932a7fe1f1ca0261f815c3d-悪意のあるICOファイル(icon0.ico)

a541e5fc421c358e0a2b07bf4771e897fb5a617998aa4876e0e1baa5fb8e25c-悪意のあるICOファイル(icon1.ico)

d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090-悪意のあるICOファイル(icon10.ico)

d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090-悪意のあるICOファイル(icon11.ico)

d51a790d187439ce030cf763237e992e9196e9aa41797a94956681b6279d1b9a-悪意のあるICOファイル(icon12.ico)

4e08e4ffc699e0a1de4a5225a0b4920933fbb9cf123cde33e1674fde6d61444f-悪意のあるICOファイル(icon13.ico)

8c0b7d90f14c55d4f1d0f17e0242efd78fd4ed0c344ac6469611ec72defa6b2d-悪意のあるICOファイル(icon14.ico)

f47c883f59a4802514c57680de3f41f690871e26f250c6e890651ba71027e4d3-悪意のあるICOファイル(icon15.ico)

2c9957ea04d033d68b769f333a48e228c32bcf26bd98e51310efd48e80c1789f-悪意のあるICOファイル(icon2.ico)

268d4e399dbbb42ee1cd64d0da72c57214ac987efbb509c46cc57ea6b214beca-悪意のあるICOファイル(icon3.ico)

c62dce8a77d777774e059cf1720d77c47b97d97c3b0cf43ade5d96bf724639bd-悪意のあるICOファイル(icon4.ico)

c13d49ed325dec9551906bafb6de9ec947e5ff936e7e40877feb2ba4bb176396-悪意のあるICOファイル(icon5.ico)

f1bf4078141d7ccb4f82e3f4f1c3571ee6dd79b5335eb0e0464f877e6e6e3182-悪意のあるICOファイル(icon6.ico)

2487b4e3c950d56fb15316245b3c51fbd70717838f6f82f32db2efcc4d9da6de-悪意のあるICOファイル(icon7.ico)

e059c8c8b01d6f3af32257fc2b6fe188d5f4359c308b3684b1e0db2071c3425c-悪意のあるICOファイル(icon8.ico)

d0f1984b4fe896d0024533510ce22d71e05b20bad74d53fae158dc752a65782e-悪意のあるICOファイル(icon9.ico)

akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
dunamistrd[.]com
glcloudservice[.]com
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
visualstudiofactory[.]com
zacharryblogs[.]com
raw.githubusercontent[.]com/IconStorages/images/main/

About the Author

Threat Hunter Team

Symantec

The Threat Hunter Team is a group of security experts within Symantec whose mission is to investigate targeted attacks, drive enhanced protection in Symantec products, and offer analysis that helps customers respond to attacks.

Want to comment on this post?

We encourage you to share your thoughts on your favorite social platform.