Sophos X-Ops跟踪的最新供应链攻击事件概述
重点信息
- Sophos X-Ops正在监控一起可能由与国家相关的组织实施的供应链攻击。
- 受影响的软件是3CX,这是一种合法的基于软件的PBX电话系统,存在包括Windows和MacOS在内的多个平台上。
- 攻击者利用了3CX桌面应用程序的恶意修改,注入了与命令和控制(C2)服务器通信的代码。
- 3CX已经脱离了受影响的版本,并建议用户卸载和重新安装应用程序。
概述
SophosX-Ops正在关注一起正在发展的供应链攻击,这可能与国家级相关的黑客组织有关。本文提供了情况概述、威胁分析、狩猎信息以及检测保护的相关信息。随着事件和理解的不断发展,我们将更新该页面,包括我们的威胁和检测指导。
版本更新记录
- 最新版本 :于2023年4月6日02:00 UTC发布,增加了检测信息;包含针对3CX应用程序中infostealer的config.json文件的分析笔记以及libffmpeg.dylib下三个文件的介绍;调整了有关OSX/PWS-CMV检测的语言。
- 2023年4月1日23:00 UTC :增加了对静态检测中Troj/Steal-DLG的检测、两个额外查询供客户用来确定对攻击的暴露程度、新的关于恶意代码中时间戳机制的分析,以及对其他使用ffmpeg.dll构建的Electron应用的分析。
- 2023年3月30日23:30 UTC :增加受影响版本的详细信息、ffmpeg.dll的误用、恶意仓库的删除、与Lazarus威胁组使用的PE shellcode加载程序的对比等各类检测信息。
威胁分析
2023年3月22日,3CX的用户开始讨论他们的终端安全代理可能误报3CXDesktopApp的相关问题。
Sophos MDR初步识别到与其客户相关的恶意活动,源自3CXDesktopApp,于2023年3月29日。此外,SophosMDR还观察到该攻击活动利用公共文件存储来托管编码的恶意软件。这个存储库自2022年12月8日以来一直在使用,在3月29日的泄露新闻传播后,该存储库已被关闭。
攻击涉及DLL旁加载的场景,涉及众多组件。这种方式可能确保客户在使用3CX桌面程序时未发现受影响软件的异常。我们识别到三个关键组件:
- 3CXDesktopApp.exe:正常加载器
- d3dcompiler_47.dll:附加加密负载的DLL
- ffmpeg.dll:被特洛伊木马替换的加载器
我们观察到的最常见后期利用事件是存在针对受损系统的浏览器的infostealer。在撰写本文时,3CX已停止对受影响版本的Windows应用程序的支持。
时间戳检查分析
在我们的持续调查中,我们发现代码中存在时间戳机制。
通过分析,我们可以看到一个循环调用check_timestamp函数,并通过GetSystemTimeAsFileTimeAPI调用获得一个64位整数值。check_timestamp的结果与存储在“manifest”文件中的变量“v6”进行比对。该“manifest”是在感染初期,由恶意软件在“3cxdesktopapp”文件夹中创建的。
如果文件存在且可写,代码将计算出一个时间戳并将其与v6进行比较。如果check_timestamp的结果小于v6,循环将保持睡眠状态,直到check_timestamp的结果大于该时间戳,代码才会继续前进并生成与GitHub的HTTP请求,启动负载下载。
狩猎信息
使用Sophos XDR确定影响
确定主机是否与威胁行为者的基础设施进行过通信 :
sql SELECT meta_hostname, sophos_pids, domain, clean_urls, source_ips, destination_ips, timestamps, ingestion_timestamp FROM xdr_data WHERE query_name = 'sophos_urls_windows' AND (LOWER(domain) LIKE '%akamaicontainer[.]com%' OR LOWER(domain) LIKE '%...') -- 省略其他条件以节省篇幅**确定
