近期，知名企业电话系统3CX的Desktop App客户端软件遭遇供应链攻击，其安装包被植入恶意代码。此次攻击涉及Windows和macOS平台多个版本，多方安全机构倾向于认为由朝鲜APT组织策划。攻击者利用合法的数字签名，通过DLL侧加载方式注入恶意模块，并对shellcode进行RC4加密解密。恶意代码具备潜伏机制，最长潜伏期可达27天，其C2通信一度托管在GitHub。此次攻击显示出攻击者精心策划、隐秘行动的特点，若未及时发现，将对广泛使用3CX软件的众多行业构成巨大威胁。3CX公司在事件发生后的应对也暴露了其在安全建设上的不足。

⛑️ **供应链攻击与恶意代码注入**：知名企业电话系统3CX的Desktop App客户端软件遭到供应链攻击，其安装包被植入恶意代码。攻击者利用了3CX公司合法的数字签名，通过DLL侧加载技术将恶意模块植入到ffmpeg.dll和d3dcompiler_47.dll文件中。这意味着用户在安装合法软件时，已被悄然植入了恶意程序。

⏳ **隐秘的潜伏与精心策划**：该攻击的恶意代码具有复杂的潜伏机制，通过读取和比较时间戳来决定是否执行后续操作，潜伏期最短7天最长27天。Shellcode在内存中反射加载samcli.dll，并由DllGetClassObject函数创建一个新线程执行，进一步隐藏其踪迹。此外，攻击者很可能早在2022年11月前就开始了行动，表明这是一场经过长期准备和精心策划的行动。

🌐 **多阶段的C2通信与潜在威胁**：攻击者的C2通信一度托管在GitHub，通过随机请求ico文件来隐藏真实目的。下载的ico文件末尾附加了加密的C2地址，解密后可获取下一阶段的payload。虽然后续payload已无法获取，但其隐秘的攻击流程和广泛的用户基础预示着一旦完全激活，将可能对多个行业带来巨大的威胁和损失。

⚠️ **3CX公司的安全应对问题**：在事件发生后，3CX公司最初将软件报毒视为误报，延误了关键的调查取证时机。CEO试图将问题归咎于ffmpeg组织，但遭到否认，这暴露了3CX公司在安全建设和事件响应方面存在严重问题。目前已聘请Mandiant介入调查，以期尽快查明真相。

2023-04-04 15:13 广东

上周知名企业电话系统3CX DeskTop App客户端软件遭遇供应链攻击，客户端安装包被植入恶意代码。

上周知名企业电话系统3CX DeskTop App客户端软件遭遇供应链攻击，客户端安装包被植入恶意代码。3CX Desktop App 是一款跨平台桌面电话应用程序，用户可以通过它进行聊天、消息、视频和语音交互。美国运通、可口可乐、麦当劳、宝马、本田、丰田、梅赛德斯-奔驰、宜家等都是他们的客户。依据3CX官网发布的公告，被注入恶意代码的客户端有多个版本，涉及MacOs和windows两个平台。在归因上各家安全公司都倾向于是朝鲜某APT组织策划了这次行动。

根据SentinelOne 的安全报告显示他们于2023年3月22日首次收到告警并展开分析。毒霸安全团队也第一时间调查我们国内感染用户，介于初阶段样本时间戳是2022年11月12日，我们把调查时间线向前推进了半年，相较于国外的感染量，国内只有极少量用户感染，首例感染用户发生在2023年3月25日，且根据内存防护数据显示感染用户都只触发了第一阶段内存payload未见后续行为。使用毒霸扫描查杀和开启最高内存防护都可以有效拦截本次攻击。

   

攻击流程

详细分析

以下分析基于windows平台18.12.416客户端版本。母体样本安装包3CXDesktopApp.msi具有3CX公司合法的数字签名。

安装后会释放如下文件，恶意代码存在于ffmpeg.dll 和 d3dcompiler_47.dll中，3CXDesktopApp.exe启动后会加载恶意模块ffmpeg.dll ，是一起典型的dll侧加载利用。

ffmpeg.dll 执行后创建互斥体”AVMonitorRefreshEvent“保证一个实例运行。随后读取同目录下的d3dcompiler_47.dll文件数据到内存，用特征码”0xfe 0xed 0xfa 0xce“从文件签名起始处开始搜索附加数据，此文件有正常的微软签名但是文件末尾被攻击者附加了加密的shellcode。

数据读取后用RC4进行shellcode解密，密钥”3jB(2bsG#@c7“，并修改执行权限跳转执行。shellcode中内嵌一个PE模块文件名"samcli.dll"，此shellcode的功能是在内存中反射装载samcli.dll，最后调用导出函数DllGetClassObject并传入以下参数执行。

1200 2400 "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) 3CXDesktopApp/18.11.1197 Chrome/102.0.5005.167 Electron/19.1.9 Safari/537.36"

在DllGetClassObject函数中，创建一个线程继续执行后续代码，攻击者创建了一个manifest文件，并写入了当前时间戳，每次启动进入到此处代码都会读取该值并与最新时间戳比较，如果大于才继续执行。根据代码设定潜伏期最短7天最长27天。

C2通讯地址托管在了github中。通过(rand() % 15 + 1）随机请求ico文件。https[:]//raw.githubusercontent[.]com/IconStorages/images/main/icon[1-15].ico

目前该项目已被删除。

下载到的ico文件末尾被附加了加密的C2地址，通过特征码”$“倒序搜索定位到数据并进行解密。得到解密后的地址会继续请求下一阶段的payload。

由于C2服务已经关闭无法获取到后续恶意模块，对于后续的代码从静态角度分析是可以直接在内存执行payload。

总结

每一次成功的供应链攻击都有其独特的特点和表现形式，这次的分析只是揭示了攻击的冰山一角，由于最终payload停止下发，并不清楚还有多少恶意功能，以及他们最终想要攻击的目标是谁。这次攻击非常隐秘，攻击者并不着急展开行动，而是等待合适的时机，静待猎物上钩。如果不能及时发现，由于3CX软件的广泛使用，将对多个行业带来巨大的威胁和损失。从样本的时间戳来看，攻击者很可能早在2022年11月前就开始行动了，这表明这是一场经过精心策划的攻击。事件发生后3CX公司的行动也是令人震惊，在3月22日发现软件被报毒后，被认为这是一起误报并在随后的数天内什么也没做，没有组织有效的内部调查错过了调查取证的关键时机，在收到多个安全厂商报告后，CEO试图将问题归咎到ffmpeg组织，随即ffmpeg组织发表声明他们不发布任何编译二进制文件，由此可以看出3CX公司在安全建设上存在严重问题。目前3CX公司已经聘请安全公司Mandiant介入调查，相信随着调查的深入，事件真相将很快水落石出。

IOC：

74bc2d0b6680faa1a5a76b27e5479cbc

0eeb1c0133eb4d571178b2d9d14ce3e9

82187ad3f0c6c225e2fba0c867280cc9

https://msstorageazure[.]com/window

https://officestoragebox[.]com/api/session

https://visualstudiofactory[.]com/workload

https://azuredeploystore[.]com/cloud/services

https://msstorageboxes[.]com/office

https://officeaddons[.]com/technologies

https://sourceslabs[.]com/downloads

https://zacharryblogs[.]com/feed

https://pbxcloudeservices[.]com/phonesystem

https://akamaitechcloudservices[.]com/v2/storage

https://azureonlinestorage[.]com/azure/storage

https://msedgepackageinfo[.]com/microsoft-edge

https://glcloudservice[.]com/v1/console

https://pbxsources[.]com/exchange

阅读原文

跳转微信打开