疑似3CX供应链攻击组织相关联的Linux样本分析
Contents
近日3CX企业级电话管理系统供应商遭遇供应链攻击,这是一起非常严重的供应链攻击事件,根据3CX网站介绍,3CX在全球190+国家拥有超过60W的安装量超过1200万用户。在事件发生后,3CX任命Mandiant作为安全事件响应团队后,发布了一个中期调查结论(详情见参考链接1):
根据Mandiant迄今为止对3CX入侵和供应链攻击的调查,他们将该活动归因于名为UNC4736攻击组织,并且Mandiant高度自信地评估UNC4736与东北亚国家有联系。该报告指出UNC4736攻击组织一款基于MacOS平台的样本特征,如下所示:
近日,ESET研究人员发布了一篇针对Linux用户的Lazarus Operation DreamJob攻击活动报告,该活动使用社会工程技术,以虚假工作机会作为诱饵,提供虚假的汇丰银行工作机会作为诱饵,通过OpenDrive云存储帐户分发SimpleTea Linux后门(详情见参考链接2)。
4月20日Mandiant和Symantec发布了3CX攻击事件的调查报告,发现这起攻击事件,是一次“双供应链”攻击事件,最初始的攻击起始于另外一起供应链攻击事件(详情见参考链接3)
近日深信服深瞻情报实验室捕获到一例Linux平台的样本,该样本的部分代码特征与上面文章中提到的攻击样本代码特征类似,疑似该攻击组织针对Linux平台的攻击武器组件之一,并对该组件进行了详细分析。
参考链接 1:https://www.3cx.com/blog/news/mandiant-initial-results/
参考链接2:https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
参考链接3:https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise
参考链4:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain
样本首先读取配置文件/etc/apdl.cf,然后异或0x5e解密,相关代码,如下所示:
如果配置文件不存在,则生成配置文件C2信息,并拷贝到内存,如下所示:
将内存中生成的C2信息,异或0x5e加密之后,写入到/etc/apdl.cf配置文件,如下所示:
与远程服务器进行网络通信连接请求,执行相关的操作,如下所示:
解析从远程服务器上返回指令,执行相关的操作,如下所示:
样本生成、读取配置文件信息代码,基本一致,如下所示:
网络请求URL格式,也基本一致,分别为:
hxxps://rgedist[.]com/sfxl.php
hxxps://journalide[.]org/djour.php
本次针对3CX的供应链攻击事件,不仅仅涉及到Windows、Linux平台,还出现了极少涉及的Mac平台。相关行业及单位需要警惕并加强网络防御。本次事件中,该组织使用双重供应链攻击,安全公司应加强相关技术的检测。
深信服深瞻情报实验室专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准的对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,成功帮助客户应急响应处置过多起APT及网络犯罪威胁组织攻击事件,未来随着安全对抗的不断升级,威胁组织会研究和使用更多新型的TTP,深信服深瞻情报实验室会持续监控,并对全球发现的新型安全事件进行深入分析与研究。
根据Mandiant迄今为止对3CX入侵和供应链攻击的调查,他们将该活动归因于名为UNC4736攻击组织,并且Mandiant高度自信地评估UNC4736与东北亚国家有联系。该报告指出UNC4736攻击组织一款基于MacOS平台的样本特征,如下所示:
近日,ESET研究人员发布了一篇针对Linux用户的Lazarus Operation DreamJob攻击活动报告,该活动使用社会工程技术,以虚假工作机会作为诱饵,提供虚假的汇丰银行工作机会作为诱饵,通过OpenDrive云存储帐户分发SimpleTea Linux后门(详情见参考链接2)。
4月20日Mandiant和Symantec发布了3CX攻击事件的调查报告,发现这起攻击事件,是一次“双供应链”攻击事件,最初始的攻击起始于另外一起供应链攻击事件(详情见参考链接3)
近日深信服深瞻情报实验室捕获到一例Linux平台的样本,该样本的部分代码特征与上面文章中提到的攻击样本代码特征类似,疑似该攻击组织针对Linux平台的攻击武器组件之一,并对该组件进行了详细分析。
参考链接 1:https://www.3cx.com/blog/news/mandiant-initial-results/
参考链接2:https://www.welivesecurity.com/2023/04/20/linux-malware-strengthens-links-lazarus-3cx-supply-chain-attack/
参考链接3:https://www.mandiant.com/resources/blog/3cx-software-supply-chain-compromise
参考链4:https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/xtrader-3cx-supply-chain
样本首先读取配置文件/etc/apdl.cf,然后异或0x5e解密,相关代码,如下所示:
如果配置文件不存在,则生成配置文件C2信息,并拷贝到内存,如下所示:
将内存中生成的C2信息,异或0x5e加密之后,写入到/etc/apdl.cf配置文件,如下所示:
与远程服务器进行网络通信连接请求,执行相关的操作,如下所示:
解析从远程服务器上返回指令,执行相关的操作,如下所示:
样本生成、读取配置文件信息代码,基本一致,如下所示:
网络请求URL格式,也基本一致,分别为:
hxxps://rgedist[.]com/sfxl.php
hxxps://journalide[.]org/djour.php
本次针对3CX的供应链攻击事件,不仅仅涉及到Windows、Linux平台,还出现了极少涉及的Mac平台。相关行业及单位需要警惕并加强网络防御。本次事件中,该组织使用双重供应链攻击,安全公司应加强相关技术的检测。
深信服深瞻情报实验室专注全球高级威胁事件的跟踪与分析,拥有一套完善的自动化分析溯源系统以及外部威胁监控系统,能够快速精准的对APT组织使用的攻击样本进行自动化分析和关联,同时积累并完善了几十个APT以及网络犯罪威胁组织的详细画像,成功帮助客户应急响应处置过多起APT及网络犯罪威胁组织攻击事件,未来随着安全对抗的不断升级,威胁组织会研究和使用更多新型的TTP,深信服深瞻情报实验室会持续监控,并对全球发现的新型安全事件进行深入分析与研究。
IoC
https://journalide.org/djour.php
https://rgedist.com/sfxl.php
https://rgedist.com/sfxl.php