한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
이전 소프트웨어 공급망 침해로 인해 시작된 3CX 소프트웨어 공급망 침해, 책임이 있는 북한 배우로 의심됨
2023년 3월 Mandiant Consulting은 3CX 데스크톱 앱 소프트웨어에 영향을 미치는 공급망 손상에 대응했습니다. 이 대응 과정에서 Mandiant는 3CX 네트워크의 초기 침해 벡터가 Trading Technologies 웹사이트에서 다운로드한 악성 소프트웨어를 통해 이루어졌음을 확인했습니다. Mandiant가 소프트웨어 공급망 공격이 또 다른 소프트웨어 공급망 공격으로 이어지는 것을 본 것은 이번이 처음입니다.
3CX 데스크탑 앱은 채팅, 화상 통화, 음성 통화 등 사용자에게 커뮤니케이션을 제공하는 엔터프라이즈 소프트웨어입니다. 2023년 3월 말, 소프트웨어 공급망 손상으로 인해 웹사이트에서 다운로드할 수 있는 3CX의 합법적 소프트웨어의 트로이 목마 버전을 통해 악성코드가 확산되었습니다. 영향을 받은 소프트웨어는 3CX DesktopApp 18.12.416 이하였으며, 여기에는 GitHub에서 호스팅되는 암호화된 아이콘 파일로부터 추가 명령 및 제어(C2) 서버를 수신하는 다운로더인 SUDDENICON을 실행하는 악성 코드가 포함되어 있습니다. 해독된 C2 서버는 브라우저 정보를 훔치는 데이터마이너인 ICONICSTEALER로 식별된 세 번째 단계를 다운로드하는 데 사용되었습니다. Mandiant는 이 활동을 북한의 넥서스 활동 클러스터로 의심되는 UNC4736으로 추적합니다.
3CX 공급망 손상에 대한 Mandiant Consulting의 조사를 통해 초기 침입 벡터가 밝혀졌습니다. 즉, Trading Technologies에서 제공하는 소프트웨어 패키지인 X_TRADER에 대한 변조된 설치 프로그램으로 시작된 초기 소프트웨어 공급망 손상을 통해 배포된 악성 코드가 포함된 소프트웨어 패키지입니다(그림 1). . Mandiant는 복잡한 로딩 프로세스로 인해 다단계 모듈형 백도어인 VEILEDSIGNAL과 해당 모듈이 배포되었다고 판단했습니다.
Mandiant Consulting은 파일 이름이 X_TRADER_r7.17.90p608.exe(MD5: ef4ab22e565684424b4142b1294f1f4d)인 설치 프로그램을 식별했으며 이로 인해 악성 모듈식 백도어인 VEILEDSIGNAL이 배포되었습니다.
X_TRADER 플랫폼은 2020년에 중단된 것으로 알려졌으나 2022년에도 합법적인 Trading Technologies 웹사이트에서 다운로드할 수 있었습니다. 이 파일은 "Trading Technologies International, Inc"라는 제목으로 서명되었으며 실행 파일인 Setup.exe도 포함되어 있습니다. 동일한 디지털 인증서로 서명되었습니다. 악성 소프트웨어에 디지털 서명하는 데 사용된 코드 서명 인증서는 2022년 10월에 만료되도록 설정되었습니다.
설치 프로그램은 두 개의 트로이 목마 DLL과 무해한 실행 파일을 삭제하는 Setup.exe를 포함하고 실행합니다. Setup.exe는 양성 실행 파일을 사용하여 악성 DLL 중 하나를 테스트용으로 로드합니다. 사이드 로딩은 합법적인 Windows 실행 파일을 사용하여 합법적인 종속성으로 위장한 악성 파일을 로드하고 실행합니다. 로드된 악성 DLL에는 SIGFLIP 및 DAVESHELL이 포함되어 있으며 이를 사용하여 삭제된 다른 악성 실행 파일의 페이로드를 해독하고 메모리에 로드합니다. SIGFLIP은 RC4 스트림 암호를 사용하여 선택한 페이로드를 해독하고 바이트 시퀀스 FEEDFACE를 사용하여 해독 단계에서 쉘코드(이 경우 DAVESHELL)를 찾습니다.
SIGFLIP 및 DAVESHELL은 모듈식 백도어인 VEILEDSIGNAL과 두 개의 해당 모듈을 추출하고 실행합니다. VEILEDSIGNAL은 프로세스 주입 및 C2 서버와의 통신을 위해 추출된 두 개의 모듈을 사용합니다.
VEILEDSIGNAL 및 그에 수반되는 두 구성요소는 다음 기능을 제공합니다.
확인된 VEILEDSIGNAL 샘플(MD5: c6441c961dcad0fe127514a918eaabd4)의 C2 구성은 하드 코딩된 URL인 www.tradingtechnologies[.]com/trading/order-management에 의존했습니다.
손상된 X_TRADER 및 3CXDesktopApp 애플리케이션은 모두 최종 페이로드가 다르지만 동일한 방식으로 페이로드를 포함, 추출 및 실행합니다. Mandiant는 이러한 샘플을 분석한 후 다음과 같은 유사점을 발견했습니다.
공격자는 공개적으로 사용 가능한 Fast Reverse Proxy 프로젝트의 컴파일된 버전을 사용하여 공격 중에 3CX 조직 내에서 측면으로 이동했습니다. MsMpEng.exe 파일(MD5: 19dbffec4e359a198daf4ffca1ab9165)은 위협 행위자에 의해 C:\Windows\System32에 삭제되었습니다.