3CX供应链攻击‘SmoothOperator’ – Kudelski安全研究

作者： Kudelski安全威胁检测与研究团队的Anton Jörgensson、Eric Dodge和Yann Lehmann

更新于4月5日。 我们可能会后续更新，请随时关注。

摘要

3CX是一家VoIP IPBX软件开发公司。他们的3CX电话系统被全球超过60万家公司使用，每日用户超过1000万。 3CX遭受了供应链攻击，导致其3CXDesktopApp被木马化。这个被木马化的3CXDesktopApp是多阶段攻击的第一阶段，最终会在主机上安装一个后期信息窃取程序。被入侵的应用程序版本使用了之前版本应用程序的证书进行签名。主要EDR解决方案供应商现在正在阻止木马化应用程序的运行，截至撰写本文时，3CX尚未提供新的合法版本应用程序。根据CrowdStrike的情报，这次攻击疑似源自被称为LABYRINTH CHOLLIMA的威胁行为者。

受影响应用程序

供应商确认受影响的版本包括：

Electron Windows应用程序（更新7中的版本号）

18.12.407
18.12.416

Electron Mac应用程序版本号

18.11.1213
18.12.402
18.12.407
18.12.416

攻击概述

CrowdStrike、SentinelOne和Sophos已经发布了攻击分析和妥协指标。根据CrowdStrike的说法，恶意活动包括向攻击者控制的基础设施发送信标、部署第二阶段有效载荷，以及在少数情况下进行手动键盘操作。

该攻击是一个DLL侧加载场景，旨在允许正常使用3CX桌面软件包，同时不让受害者察觉到可疑活动。到目前为止，MDR提供商已经确定了三个关键组件：

3CXDesktopApp.exe，被木马化的加载器
d3dcompiler_47.dll，一个附加了加密有效载荷的DLL
ffmpeg.dll，恶意的木马加载器

3CXDesktopApp被用作shellcode加载器，代码从堆空间内运行。这反过来导致一个DLL被反射加载并通过DLLGetClassObject导出调用，开始下一个阶段，从Github检索图标文件。

ffmpeg.dll文件包含一个URL，从中检索带有嵌入式Base64有效载荷的恶意.ico文件——这是部署最后阶段（信息窃取程序）的另一次下载。信息窃取程序主要针对常见浏览器的系统和浏览器信息，特别是Places和History表。大多数被入侵库用于下载第二阶段有效载荷（信息窃取程序）的域已被关闭。

在常见的DLL侧加载场景中，恶意加载器（ffmpeg.dll）会替换干净的依赖项；其唯一功能是排队有效载荷。然而，在这种情况下，这个加载器功能齐全，就像在3CX产品中通常那样。相反，在DllMain函数中插入了额外的有效载荷。

检测指导

首先评估您的环境中是否发现了受感染的应用程序。如果不是这种情况，您就不面临此供应链攻击的风险。

如果您的环境中存在受感染的应用程序，请注意，由于攻击的性质，这并不意味着您成为目标。我们已经看到应用程序只是在正常过程中更新到受感染的版本，而没有攻击背后的威胁行为者采取进一步行动。

我们建议从主机上卸载该应用程序，直到有新版本的应用程序可用。如果不可能，为了降低风险，我们建议在您的EDR/AV解决方案尚未阻止该应用程序的情况下隔离主机。

我们还建议检查与用于传递信息窃取程序的URL hxxps://github[.]com/IconStorages/images的任何网络连接，甚至检查与木马化应用程序相关的raw[.]githubusercontent[.]com的连接。

此外，参考文献包含多个IOC，您可以使用这些IOC在环境中搜索威胁。

最后，我们建议轮换密钥，以降低信息窃取程序窃取密钥后使用捕获密钥的风险。

临时缓解措施

3CX的建议仍然是使用PWA应用程序，但现在提供了更新版本的Electron客户端
如果您的EDR/AV解决方案尚未阻止受感染的应用程序且无法卸载该应用程序，请隔离受影响的资产

网络融合中心（CFC）正在采取的措施

CFC目前正在每个客户端环境中进行威胁搜寻，以评估受感染的3CX应用程序的影响。如果您是CFC合作伙伴，您可以在合作伙伴门户中查看名为"[HIGH]针对3CX客户的主动入侵活动"的详细信息
如果在您的环境中观察到受感染的应用程序，我们的事件响应团队和CFC将与您直接联系
我们的检测工程团队目前正在为您的环境推送检测规则（如适用）

3CX供应链攻击"SmoothOperator"技术分析与应对指南

本文详细分析了3CX DesktopApp供应链攻击事件的技术细节，包括攻击流程、DLL侧加载机制、恶意载荷部署方式，并提供检测指导和缓解措施，帮助组织应对此类高级威胁。