一
事件背景
2023年03月31日,我司监测到3CX公司发布了针对DesktopApp软件的风险通告(CVE-2023-29059)。3CX 互联网语音协议(VOIP)桌面客户端在通过Git进行构建时,被注入了受供应链攻击的恶意代码,并使用了由Sectigo颁发和DigiCert加盖时间戳的合法3CX Ltd证书。
受影响的安装包内包含了两个恶意 DLL 文件:ffmpeg.dll 和 d3dcompiler_47.dll。ffmpeg.dll会在用户安装时被加载,并从d3dcompiler_47.DLL中进一步加载和执行payload进行系统信息收集。攻击者可利用恶意文件从 Chrome、Edge、Brave和 Firefox 用户配置文件中窃取用户数据和敏感凭据等,导致用户敏感信息泄露。
相关漏洞信息如下:
漏洞基本信息 |
|
漏洞名称 |
3CX DesktopApp代码执行漏洞 |
漏洞编号 |
CVE-2023-29059 |
漏洞类型 |
代码执行 |
漏洞等级 |
高危 |
发现时间 |
2023年3月31日 |
所需权限 |
/ |
用户交互 |
是 |
在野利用 |
是 |
二
影响范围
3CX的主要产品为3CX Phone System,这是一个基于开放标准的软件交换机,并开发VoIP IPBX软件,以让用户透过网络进行各种通信,全球有超过60万家企业客户,包括可口可乐、麦当劳、BMW、IKEA及英国保健署(National Health Service)等,每日使用者数量超过1,200万名。3CX DesktopApp是流行的视频会议软件,适用于Windows、MacOS、Linux 和移动设备,目前已观察到Windows、MacOS有相关恶意活动,软件受影响版本如下:
受影响范围 |
|
Windows |
Electron Windows App shipped in Update 7 版本:18.12.407 Electron Windows App shipped in Update 7 版本:18.12.416 |
MacOS |
Electron Mac App版本:18.11.1213 Electron Mac App版本:18.12.402 Electron Mac App版本:18.12.407 Electron Mac App版本:18.12.416 |
三
分析详情
1
样本信息
MD5:
74bc2d0b6680faa1a5a76b27e5479cbc(ffmpeg.dll)
82187ad3f0c6c225e2fba0c867280cc9(d3dcompiler_47.dll)
编译时间:
2022-11-12 12:12:14(ffmpeg.dll)
1981-01-19 15:15:57(d3dcompiler_47.dll)
2
行为分析
3CXDesktopApp.msi安装包运行后创建3CXDesktopApp.exe进程,默认加载ffmpeg.dll,ffmpeg.dll加载后创建名为“AVMonitorRefreshEvent”的Event,若创建失败则结束运行,以此来保证单实例运行:
获取当前主程序运行路径,拼接后续需要读取的文件路径:
读取同目录下的d3dcompiler_47.dll,并检索16进制数据0xfe 0xed 0xfa 0xce:
读取后续的数据,并使用RC4进行shellcode解密:
修改权限并跳转执行:
解密的shellcode中包含一个dll,shellcode运行后反射加载该dll(记为:dump.dll):
dump.dll的主要功能是向内置的GitHub icon存储库地址获取数据,根据获取数据进行后续的操作(由于分析时,该存储库已经关闭,无法获取后续数据,但从代码上来看,从github中读取的可能是后续的载荷):
3
攻击链条
四
修复方案
1
通用修复方案
检查是否使用受影响3CXDesktopApp版本软件资产,并及时停用。3CX公司建议用户在DesktopApp的干净版本发布之前,考虑使用其PWA客户端作为替代。PWA App 的安装方法可以参考链接:https://www.3cx.com/user-manual/web-client/
2
临时修复方案
建议将恶意的IOC指标加入防御策略中,使用睿眼全流量安全分析系统进行检测,预防威胁事件扩大影响,保护资产安全。
IOC指标:
3cxdesktopapp-18.12.407.msi
aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868
3cxdesktopapp-18.12.416.msi
59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c098
3CXDesktopApp-18.11.1213.dmg
5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290
com.electron.3cx-desktop-app
92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61
com.electron.3cx-desktop-app.dmg
e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec
com.electron.3cx-desktop-app
b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb
3CXDesktopApp.exe
dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc
3CXDesktopApp.exe
fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405
d3dcompiler_47.dll
11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03
ffmpeg.dll
7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896
ffmpeg.dll
c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02
恶意github存储库
https://raw.githubusercontent[.]com/IconStorages/images/main/icon%d.ico
恶意C&C域
akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
dunamistrd[.]com
glcloudservice[.]com
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
visualstudiofactory[.]com
zacharryblogs[.]com