3CX DesktopApp 공급망 공격, 국내에서도 확인
Contents
2023년 3월 29일 CrowdStrike는 북한 기반의 공격 그룹이 3CX DesktopApp을 통해 공급망 공격을 수행한 사실을 소개하였다. [1] 공격자는 이를 이용해 정보 탈취 악성코드를 설치하였다.
AhnLab Security Emergency response Center(ASEC)에서는 다음 블로그를 통해 3CX DesktopApp을 통한 공급망 공격 발생 사실을 알리고 조치 가이드를 소개한 바 있다. [2] 본 글에서는 공격에 사용된 악성코드들에 대한 분석 정보와 자사 AhnLab Smart Defense(ASD) 로그를 통해 확인된 국내 감염 내역을 알리려한다.
국내 확인 로그
다음은 공급망 공격이 알려지기 이전에 확인된 자사 ASD(AhnLab Smart Defense) 로그이다. 3월 9일에는 18.12.407 버전의 3CX Electron Windows App 설치 로그가, 3월 15일에는 18.12.416 버전의 설치 로그가 확인되며 대상이 된 곳은 국내 모 대학교로 확인되었다.
악성코드 분석
공격자는 WIndows 사용자와 MAC 사용자들을 공격 대상으로 하였으며, 이를 위해 윈도우 환경과 MAC 환경에서 동작하는 3CX DesktopApp 설치 파일에 악성코드를 삽입하였다. 사용자가 악성코드가 삽입된 설치 파일을 설치할 경우 내부에 인코딩되어 저장된 악성코드 메모리 상에서 동작하며 추가 악성코드를 설치한다.
Windows
윈도우 환경에서는 MSI 인스톨러가 설치 파일이며, 내부에 포함된 “ffmpeg.dll”, “d3dcompiler_47.dll”이 실질적인 악성코드이다. 설치가 …
AhnLab Security Emergency response Center(ASEC)에서는 다음 블로그를 통해 3CX DesktopApp을 통한 공급망 공격 발생 사실을 알리고 조치 가이드를 소개한 바 있다. [2] 본 글에서는 공격에 사용된 악성코드들에 대한 분석 정보와 자사 AhnLab Smart Defense(ASD) 로그를 통해 확인된 국내 감염 내역을 알리려한다.
국내 확인 로그
다음은 공급망 공격이 알려지기 이전에 확인된 자사 ASD(AhnLab Smart Defense) 로그이다. 3월 9일에는 18.12.407 버전의 3CX Electron Windows App 설치 로그가, 3월 15일에는 18.12.416 버전의 설치 로그가 확인되며 대상이 된 곳은 국내 모 대학교로 확인되었다.
악성코드 분석
공격자는 WIndows 사용자와 MAC 사용자들을 공격 대상으로 하였으며, 이를 위해 윈도우 환경과 MAC 환경에서 동작하는 3CX DesktopApp 설치 파일에 악성코드를 삽입하였다. 사용자가 악성코드가 삽입된 설치 파일을 설치할 경우 내부에 인코딩되어 저장된 악성코드 메모리 상에서 동작하며 추가 악성코드를 설치한다.
Windows
윈도우 환경에서는 MSI 인스톨러가 설치 파일이며, 내부에 포함된 “ffmpeg.dll”, “d3dcompiler_47.dll”이 실질적인 악성코드이다. 설치가 …
IoC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://akamaitechcloudservices.com/v2/fileapi
http://azuredeploystore.com/cloud/images
http://azureonlinestorage.com/google/storage
http://glcloudservice.com/v1/status
http://msedgepackageinfo.com/ms-webview
http://msstorageazure.com/analysis
http://msstorageboxes.com/xbox
http://officeaddons.com/quality
http://officestoragebox.com/api/biosync
http://pbxcloudeservices.com/network
http://pbxphonenetwork.com/phone
http://pbxsources.com/queue
http://sourceslabs.com/status
http://visualstudiofactory.com/groupcore
http://zacharryblogs.com/xmlquery
https://akamaitechcloudservices.com/v2/storage
https://azuredeploystore.com/cloud/services
https://azureonlinestorage.com/azure/storage
https://glcloudservice.com/v1/console
https://msedgepackageinfo.com/microsoft-edge
https://msstorageazure.com/window
https://msstorageboxes.com/office
https://officeaddons.com/technologies
https://officestoragebox.com/api/session
https://pbxcloudeservices.com/phonesystem
https://pbxsources.com/exchange
https://raw.githubusercontent.com/IconStorages/images/main/icon[
https://sourceslabs.com/downloads
https://visualstudiofactory.com/workload
https://zacharryblogs.com/feed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://akamaitechcloudservices.com/v2/fileapi
http://azuredeploystore.com/cloud/images
http://azureonlinestorage.com/google/storage
http://glcloudservice.com/v1/status
http://msedgepackageinfo.com/ms-webview
http://msstorageazure.com/analysis
http://msstorageboxes.com/xbox
http://officeaddons.com/quality
http://officestoragebox.com/api/biosync
http://pbxcloudeservices.com/network
http://pbxphonenetwork.com/phone
http://pbxsources.com/queue
http://sourceslabs.com/status
http://visualstudiofactory.com/groupcore
http://zacharryblogs.com/xmlquery
https://akamaitechcloudservices.com/v2/storage
https://azuredeploystore.com/cloud/services
https://azureonlinestorage.com/azure/storage
https://glcloudservice.com/v1/console
https://msedgepackageinfo.com/microsoft-edge
https://msstorageazure.com/window
https://msstorageboxes.com/office
https://officeaddons.com/technologies
https://officestoragebox.com/api/session
https://pbxcloudeservices.com/phonesystem
https://pbxsources.com/exchange
https://raw.githubusercontent.com/IconStorages/images/main/icon[
https://sourceslabs.com/downloads
https://visualstudiofactory.com/workload
https://zacharryblogs.com/feed