Cybereason 检测并阻止 3CXDesktopApp 供应链攻击
Cybereason Defense Platform 检测并阻止针对流行的 3CX 互联网协议语音 (VOIP) 桌面客户端的数百万用户的持续 3CXDesktopApp 供应链攻击。
利用 Cybereason NGAV 的组织免受这种攻击。此外,Cybereason 的全球安全运营中心 (SOC) 团队向 Cybereason 全球威胁情报服务器添加了妥协指标 (IOC),以自动检测是否存在漏洞。
发生了什么?
3CXDesktopApp 是3CX开发的一款应用程序,允许用户拨打电话、视频会议和查看语音邮件。疑似受国家支持并在朝鲜境外开展活动的威胁行为者对该应用程序进行了木马化处理,以添加一个安装程序,该安装程序可与各种命令和控制 (C&C) 服务器进行通信以检索恶意负载。
这种持续的攻击使 190 个国家/地区的 600,000 家公司的 1200 万 Windows 和 MacOS 用户面临被感染的风险。
木马化的 3CXDesktopApp 从 Github 中提取图标 (ICO) 文件。这些 ICO 文件包含 base64 编码的字符串,指向托管最终阶段信息窃取器的 C&C 服务器。最终的有效载荷以网络浏览器为目标,可能会导致敏感数据暴露和泄露。此内容包括浏览历史、cookie、缓存数据和图像、书签、自动填写表单和用户登录。
根据Cybereason 的全球 SOC 威胁警报,受损的 3CXDesktopApp 是攻击链的第一阶段,使用 DLL 侧载技术加载流氓 DLL (ffmpeg.dll)。Ffmpeg.dll 将 d3dcompiler_47.dll 加载到其内存中,并使用 RC4 算法对其进行解码,从而揭示一个 shellcode 和另一个二进制文件。shellcode 使用 VirtualAlloc 函数分配内存,并将名为 samcli.dll 的二进制文件写入分配的内存中。
然后,有效负载尝试访问 IconStorages GitHub 页面以提取包含命令和控制服务器的 ICO 文件。有效负载使用此文件与 C&C 服务器通信并检索攻击的最后阶段。
本次攻击中使用的 GitHub 页面 raw.githubusercontent[.]com/IconStorages/images/main/,在撰写本文时已被删除。
根据 3CX 的说法,这个问题似乎是他们通过 GIT 编译到 Windows Electron 应用程序中的捆绑库之一。
CYBEREASON 预防和检测
Cybereason NGAV 包括Variant Payload Protection (VPP),它可以从攻击开始时检测并阻止与应用程序利用相关的 shellcode。
CYBEREASON 推荐
Cybereason 客户应该:
确保将 Cybereason 传感器部署到适用的系统。
通过受影响机器的安全策略,在 Prevent 模式下启用 Cybereason Endpoint Prevention 和 NGAV。
在您的 Cybereason 传感器策略中启用变体有效负载保护 (VPP)(需要版本 21.2.160 及更高版本)
使用Cybereason 威胁警报的搜索查询部分中概述的查询,找到您环境中是否存在 3CXDesktopApp 软件。
从您环境中的所有端点完全删除 3CX 软件。
将提到的 SHA1 哈希 IOC 添加到您的 Cybereason 自定义信誉列表中,并使用检测和预防信誉,并确保端点预防组件 - AppControl 在您的所有安全策略中启用。
在您组织的防火墙、代理、邮件过滤和 Web 过滤中阻止与此 IOC 列表中的域的通信。
使用检测信誉将 IOC 域添加到您的 Cybereason 自定义信誉列表。
Cybereason 客户可以下载完整的威胁警报以进行进一步分析和搜索查询。
威胁警报的公共版本可在此处获得。
关于变体有效载荷预防
Cybereason NGAV 包括Variant Payload Prevention,它对内存执行进行实时分析,以检测恶意代码的每一次断裂。它还根据与现有恶意软件的“遗传”相似性来识别以前未知的恶意软件,从而创建一个强大的指纹,使其不受细微代码修改的影响。
售前咨询专员
