摘要
微步情报局监测发现,Win、macOS、Linux多平台上的一款常用工具“3CX DesktopApp”遭攻击者投毒, 3CX DesktopApp是一款流行的企业电话系统,它是一种开放式标准的软件IP电话交换机(PBX),可以在Windows、macOS或Linux上安装运行。官网介绍显示使用该产品的客户超过60万家企业,每日活跃用户超过1200万名用户,其客户包括来自金融、工业、能源、酒店、旅游、餐饮、教育等多种行业。
攻击者篡改了几个最近Windows和Mac版本的软件安装程序,以向用户计算机投递额外的信息窃取恶意软件。经过微步情报局关联分析,相关木马特征符合Lazarus组织的特点。微步情报局秉承共建安全生态的原则,建议高度重视本次软件供应链投毒攻击,并根据附件IOC及时排查相关企业/部门内部是否存在相关网络威胁,保护自身安全。此次事件相关情报已自动下发,可用于威胁情报检测。微步威胁感知平台TDP、本地威胁情报管理平台TIP、威胁情报云API、互联网安全接入服务OneDNS等均已支持对此次攻击事件和团伙的检测。如需协助,请与我们联系:[email protected]。
事件概要
事件详情
近日,微步情报局监测发现一款被广泛使用的语音和视频桌面客户端“3cx desktop”遭受供应链投毒事件,攻击者破坏修改程序的原始安装包,向受害者主机投递木马文件。3CX DesktopApp在2023年3月30日发布通告,称Electron Windows应用程序的版本18.12.407和18.12.416,以及Electron Mac App的版本18.11.1213、18.12.402、18.12.407和18.12.416存在安全问题。通过微步X情报社区资产测绘平台可以发现,在互联网中多达24万公开暴露的3cx电话管理系统。攻击者篡改了至少两个Windows版本(18.12.407和18.12.416)和两个Mac版本(18.11.1213和18.12.416)的3CX DesktopApp安装程序文件。这些安装程序文件包含了干净的应用程序和恶意的DLL文件。该应用程序被用于加载这些恶意DLL文件,然后在计算机上安装窃取信息的恶意软件。在Windows中,攻击者在.msi文件中携带恶意代码,在代码执行后等待7天,然后从Github下载后续攻击载荷并与C2通信。.msi程序将释放文件ffmpeg.dll和d3dcompiler_47.dll。ffmpeg.dll文件通过查找数据FEEDFACE并使用 RC4 密钥 ( 3jB(2bsG#@c7 ) 进行解密,从d3dcompiler_47.dll中提取后续攻击载荷,将提取出的攻击载荷加载到内存执行。在此处,攻击者所使用的加载器代码同样为APPJEUS加载器代码,而APPJEUS则疑似与朝鲜组织Lazarus相关联。完成后,设置7天定时器,在休眠7天后与C2连接下载后续载荷。图 4 ffmpeg.dll加载d3dcompiler 47.dll后续文件从Github下载,此存储库由 GitHub ID 120072117于 2022 年 12 月 8 日创建,最近更新于 2023 年 3 月 16 日。后续攻击载荷会获取主机信息、域、操作系统版本以及浏览器Brave、Chrome、Edge、Firefox的浏览历史记录,并将其发送回C2地址。目前该Github地址已被删除。在macOS端,安装包以类似的方式遭到破坏,一个名为libffmpeg.dylib的文件遭到破坏修改,攻击者使用异或密钥0X7A解密Shellcode,并通过C2地址尝试下载后续攻击载荷,不过截至分析时,未能获取到后续载荷,从Windwos端来看,后续应为同样为信息窃取器。 处置建议
1.根据威胁情报,排查网络中安装有特定版本软件的主机,逐台清理。2.微步在线云端已更新相关情报,建议更新TDP情报至最新版本,并全面覆盖贵单位网络区域。关注含有标签Lazarus的告警。---End---
点击下方,关注我们
第一时间获取最新的威胁情报
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247500859&idx=1&sn=d8ba3407a559c90c93bd9f34c2ba3511&chksm=cfcaa72ff8bd2e39654ac237eb33dd9eb0d8357d74c15a5a229037362f9acf1a0f58f17f0479#rd
如有侵权请联系:admin#unsafe.sh