3CX: サプライチェーン攻撃、世界中で数多くのユーザーに影響
複数バージョンの3CX DesktopAppがトロイの木馬に感染。北朝鮮の国家支援型アクターが関与か
2023年3月31日14:26(UTC)更新:インフォスティーラの最終ペイロードを検出するYaraルールに関する最新情報が掲載されました。
2023年3月30日17:39(UTC)更新: macOSバージョンの技術的分析に関する最新情報が掲載されました。
2023年3月30日14:17(UTC)更新: IOCの追加に関する最新情報が掲載されました。
2023年3月30日12:47(UTC)更新: IOCと保護情報の追加に関する最新情報が掲載されました。
2023年3月30日09:07(UTC)更新: 使用されたマルウェアの技術的分析に関する最新情報が掲載されました。
音声およびビデオ通話のデスクトップクライアントとして幅広く利用されている3CX DesktopAppが攻撃を受け、トロイの木馬に感染しました。攻撃者は北朝鮮との繋がりが疑われています。攻撃はSolarWindsを思い起こさせるを彷彿とさせるもので、WindowsおよびMacの複数の最新バージョンでソフトウェアのインストーラが攻撃者により侵害および修正され、追加情報を盗むマルウェアがユーザーのコンピュータに配布されるようになっています。攻撃者は、マルウェアで収集した情報を元に、被害者がさらに侵害するに値するかどうかを判断していたと考えられます。
攻撃チェーン
攻撃者により3CX DesktopAppのインストーラファイルが侵害されたことに関し、Windowsでは少なくとも2つのバージョン(18.12.407および18.12.416)、Macでは2つのバージョン(8.11.1213および最新バージョン)が該当すると言われています。インストーラには、悪意のあるDLLと併せてアプリのクリーンバージョンが含まれていました。このアプリで悪意のあるDLLがサイドロードされ、情報搾取マルウェアがコンピュータにインストールされました。
シマンテックで分析された2つの亜種(SHA256: aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868および59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983)では、クリーンな実行ファイルで悪意のあるDLL「ffmpeg.dll」(SHA256: 7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896)がロードされました。
このDLLには、2番目のDLL「d3dcompiler_47.dll」(SHA256: 11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03)がロードされました。
「D3dcompiler_47.dll」には、暗号化されたBlobがファイルに追加されています。これは、トロイの木馬に感染した正規ファイルである可能性を示しています。Blobは16進値「FEEDFACE」で始まり、ローダーはこの値を使用してBlobを検索します。復号化されたBlobには、シェルコードと3番目のDLL(SHA256: aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973)が含まれています。
シェルコードが3番目のDLLをロードおよび実行し、次のパラメータでDLLGetClassObjectをエクスポートします:
- 1200 2400 "Mozilla/5.0(Windows NT 10.0、Win64、x64)
- AppleWebKit/537.36(KHTML、like Gecko) 3CXDesktopApp/18.11.1197
- Chrome/102.0.5005.167 Electron/19.1.9 Safari/537.36”
次に、下記のGitHubのリポジトリからICOファイルのダウンロードを試みます:
- https://raw.githubusercontent[].com/IconStorages/images/main/icon%d.ico
Macのバージョン
影響を受けたソフトウェアのうち、少なくとも2つのmacOSバージョンが同様の方法で侵害されました。今回は、ダイナミックライブラリ「libffmpeg.dylib」がトロイの木馬に感染しました。このファイルには少なくとも2つの亜種(SHA256: a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67およびfee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7)が存在し、異なるバージョンのソフトウェアと関連しているように見えます。
悪意のあるコードは、libffmpeg.dylibのInitFunc_0関数にあり、_run_avcodecを呼び出してスレッドを開始します。このスレッドでは、XORキー「0x7A」でシェルコードをデコードし、HTTPリクエストを行います。
ペイロードのダウンロードは、次の場所から試行されます:
- URL: https://msstorageazure[.]com/analysis
- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.128 Safari/537.36
分析された亜種には、次のURLが埋め込まれていました。
- officestoragebox[.]com/api/biosync
- visualstudiofactory[.]com/groupcore
- azuredeploystore[.]com/cloud/images
- msstorageboxes[.]com/xbox
- officeaddons[.]com/quality
- sourceslabs[.]com/status
- zacharryblogs[.]com/xmlquery
- pbxcloudeservices[.]com/network
- pbxphonenetwork[.]com/phone
- akamaitechcloudservices[.]com/v2/fileapi
- azureonlinestorage[.]com/google/storage
- msedgepackageinfo[.]com/ms-webview
- glcloudservice[.]com/v1/status
- pbxsources[.]com/queue
被害を軽減するために
3CXはこの侵害を認識しており、すぐにアプリをアンインストールするようにユーザーに通知しています。ソフトウェアのアップデート中であることが伝えられ、数時間以内にリリースされることになります。クリーンバージョンのDesktopAppがリリースされるまでの間、代替手段として、同社のPWAクライアントの利用を検討するようユーザーに助言しています。
保護
ファイルベース
- インフォスティーラ
- トロイの木馬
- Trojan.Dropper
- Trojan.Malfilter
- WS.Malware.2
- OSX.Samsis
- Trojan.Samsis
機械学習ベース
- Heur.AdvML.A
- Heur.AdvML.B
ネットワークベース
- Malicious Site: Malicious Domain Request
- Malicious Site: Malicious Domain Request 59
- Web Attack: WebPulse Bad Reputation Domain Request
Symantec Protection Bulletinで保護に関する最新情報をご確認ください。
最終的なインフォスティーラのペイロードを検出するYaraルール
rule icon_3cx_stealer {
meta:
copyright = "Symantec"
description = "Infostealer component used in 3CX supply chain attack"
strings:
$a1 = "******************************** %s ******************************" wide fullword
$a2 = "\\3CXDesktopApp\\config.json" wide fullword
$a3 = { 7B 00 22 00 48 00 6F 00 73 00 74 00 4E 00 61 00 6D 00 65 00 22 00 3A 00 20 00 22 00 25 00 73 00 22 00 2C 00 20 00 22 00 44 00 6F 00 6D 00 61 00 69 00 6E 00 4E 00 61 00 6D 00 65 00 22 00 3A 00 20 00 22 00 25 00 73 00 22 00 2C 00 20 00 22 00 4F 00 73 00 56 00 65 00 72 00 73 00 69 00 6F 00 6E 00 22 00 3A 00 20 00 22 00 25 00 64 00 2E 00 25 00 64 00 2E 00 25 00 64 00 22 00 7D }
$b1 = "HostName: %s" wide fullword
$b2 = "DomainName: %s" wide fullword
$b3 = "OsVersion: %d.%d.%d" wide fullword
$b4 = "%s.old" wide fullword
condition:
3 of ($a*) and 2 of ($b*)
}
カスタムのYaraルールを使用したSEPクライアントコンピュータのスキャンについて、詳細はこのナレッジベースの記事を参照してください。
侵害の痕跡
dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc-Windowsアプリ
aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868-Windowsインストーラ
fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405-Windowsアプリ
59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983-Windowsインストーラ
92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61-macOSアプリ
5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290-macOSインストーラ
b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb-macOSアプリ
e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec-macOSインストーラ
11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03-インフォスティーラ(d3dcompiler_47.dll)
7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896-インフォスティーラ(ffmpeg.dll)
aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973-インフォスティーラ
c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02-インフォスティーラ(ffmpeg.dll)
fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caaa676f58086c99561382d7-悪意のあるmacOSライブラリ(libffmpeg.dylib)
a64fa9f1c76457ecc58402142a8728ce34cba378c17318b3340083eb7acc67-悪意のあるmacOSライブラリ(libffmpeg.dylib)
210c9882eba94198274ebc787fe8c88311af24932a7fe1f1ca0261f815c3d-悪意のあるICOファイル(icon0.ico)
a541e5fc421c358e0a2b07bf4771e897fb5a617998aa4876e0e1baa5fb8e25c-悪意のあるICOファイル(icon1.ico)
d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090-悪意のあるICOファイル(icon10.ico)
d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090-悪意のあるICOファイル(icon11.ico)
d51a790d187439ce030cf763237e992e9196e9aa41797a94956681b6279d1b9a-悪意のあるICOファイル(icon12.ico)
4e08e4ffc699e0a1de4a5225a0b4920933fbb9cf123cde33e1674fde6d61444f-悪意のあるICOファイル(icon13.ico)
8c0b7d90f14c55d4f1d0f17e0242efd78fd4ed0c344ac6469611ec72defa6b2d-悪意のあるICOファイル(icon14.ico)
f47c883f59a4802514c57680de3f41f690871e26f250c6e890651ba71027e4d3-悪意のあるICOファイル(icon15.ico)
2c9957ea04d033d68b769f333a48e228c32bcf26bd98e51310efd48e80c1789f-悪意のあるICOファイル(icon2.ico)
268d4e399dbbb42ee1cd64d0da72c57214ac987efbb509c46cc57ea6b214beca-悪意のあるICOファイル(icon3.ico)
c62dce8a77d777774e059cf1720d77c47b97d97c3b0cf43ade5d96bf724639bd-悪意のあるICOファイル(icon4.ico)
c13d49ed325dec9551906bafb6de9ec947e5ff936e7e40877feb2ba4bb176396-悪意のあるICOファイル(icon5.ico)
f1bf4078141d7ccb4f82e3f4f1c3571ee6dd79b5335eb0e0464f877e6e6e3182-悪意のあるICOファイル(icon6.ico)
2487b4e3c950d56fb15316245b3c51fbd70717838f6f82f32db2efcc4d9da6de-悪意のあるICOファイル(icon7.ico)
e059c8c8b01d6f3af32257fc2b6fe188d5f4359c308b3684b1e0db2071c3425c-悪意のあるICOファイル(icon8.ico)
d0f1984b4fe896d0024533510ce22d71e05b20bad74d53fae158dc752a65782e-悪意のあるICOファイル(icon9.ico)
akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
dunamistrd[.]com
glcloudservice[.]com
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
visualstudiofactory[.]com
zacharryblogs[.]com
raw.githubusercontent[.]com/IconStorages/images/main/
