기사 요약 :
3CX DesktopApp이라는 통화 및 화상회의 소프트웨어가 북한 라자루스로 추정되는 해킹 그룹에게 공급망 공격을 받은 것이 드러났다. 이 공격은 일부 윈도우 및 맥용 버전에서 정상적으로 서명이 된 채 자동 업데이트를 통해서 악성 DLL 파일이 유포되었고 공격자는 이를 통해 정보 탈취 악성코드를 설치하였다고 한다.
- 3CX 벤더社 : 영상회의 솔루션인 PBX와 기업용 통신앱인 3CX DesktopApp을 제공하는 벤더사. 전 세계 60만 개 기업이 고객사. 매일 1200만 명이 이용하고 있음.
- 공격 대상 : 윈도우(Windows) 및 맥(MAC) 사용자.
- 공격 방식 : 3CX DesktopApp 설치 파일에 악성코드 삽입. 해당 설치 파일로 설치할 경우 내부 인코딩되어 저장된 악성코드가 메모리 상에 동작하면서 추가 악성코드를 설치.
[윈도우(Windows) 공격 방식]
1) MSI 인스톨러 설치 파일. 내부의 "ffmpeg.dll", "d3dcompiler_47.dll"이 실질적인 악성코드.
2) 설치가 끝난 후 실행되는 "3CXDesptopApp.exe"는 동일한 경로에 존재하는 "ffmpeg.dll"파일을 로드.
3) "ffmpeg.dll"은 "d3dcompiler_47.dll" 파일을 읽어와 복호화하여 메모리 상에서 실행하는 기능을 담당.(뒷부분에 인코딩 된 데이터 포함)
4) "ffmpeg.dll"는 "d3dcompiler_47.dll"에서 "FE ED FA CE FE ED FA CE"이라는 시그니처를 찾는데 인코딩 된 데이터가 포함되어 있는데, 복호화하면 쉘코드가 존재하여 메모리상에서 다운로더 기능을 담당하는 악성코드를 실행시킴.
5) 그러면 악성코드가 깃허브 주소에서 ico 파일(아이콘 파일)을 다운하고 해당 파일의 뒷부분에 실제 C&C 서버 주소가 인코딩 되어 있음.
6) 해당 주소는 정보를 탈취하는 인포스틸러의 주소이다.
[맥(MAC) 공격 방식]
1) DMG 설치 파일에 악성코드가 삽입.
2) 설치 파일 내부에 존재하는 공유 라이브러리 파일들 중 libffmpeg.dylib 파일에 C&C 주소가 XOR로 인코딩 되어 있음.
- 대상 제품 :
| Electron Windows application shipped in Update 7 | Electron macOS application |
| 18.12.407 18.12.416 |
18.11.1213 18.12.402 18.12.407 18.12.416 |
- 해결 방법 :
1) 3CX DesktopApp 삭제
2) 3CX 업체에서는 PWA 어플리케이션을 대신 사용할 것을 권장
김영명 기자, 통화·화상회의 등 가능한 3CX DesktopApp에서 공급망 공격 발생, 보안뉴스, https://www.boannews.com/media/view.asp?idx=116779&kind=1&search=title&find=3cx
통화·화상회의 등 가능한 3CX DesktopApp에서 공급망 공격 발생
3CX DesktopApp을 통해 공급망 공격이 이루어졌다는 내용이 공개됐다. 해당 소프트웨어는 통화, 화상 회의 등 사용자에게 여러 통신 기능을 제공하며 마이크로소프트 윈도(Windows), 애플 맥(MAC) 운영
www.boannews.com
문정후 기자, 3CX 침해 사건, 북한의 라자루스 개입된 거대 공급망 공격 사건?, 보안뉴스, https://www.boannews.com/media/view.asp?idx=116815
3CX 침해 사건, 북한의 라자루스 개입된 거대 공급망 공격 사건?
북한의 라자루스(Lazarus)로 추정되는 해킹 그룹이 최근 3CX의 VoIP 데스크톱 애플리케이션을 침해함으로써 정보 탈취용 멀웨어를 3CX의 고객사에 퍼트리고 있다는 사실이 드러났다. 일부 3CX 고객사
www.boannews.com
안랩 블로그, 3CX DesktopApp 사용 주의 (CVE-2023-29059), https://asec.ahnlab.com/ko/50797/
3CX DesktopApp 사용 주의 (CVE-2023-29059) - ASEC BLOG
개요 3CX DesktopApp을 통해 공급망 공격이 이루어졌다는 내용이 공개되었다.[1] 해당 소프트웨어는 통화, 화상 회의 등 사용자에게 여러 통신 기능을 제공하며 Windows, MAC 운영체제 환경에서 구동이
asec.ahnlab.com
안랩 블로그, 3CX DesktopApp 공급망 공격, 국내에서도 확인, https://asec.ahnlab.com/ko/50965/
3CX DesktopApp 공급망 공격, 국내에서도 확인 - ASEC BLOG
2023년 3월 29일 CrowdStrike는 북한 기반의 공격 그룹이 3CX DesktopApp을 통해 공급망 공격을 수행한 사실을 소개하였다. [1] 공격자는 이를 이용해 정보 탈취 악성코드를 설치하였다. AhnLab Security Emergency
asec.ahnlab.com
