🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
إلى الخلف
ذكاء البرامج الضارة

التحليل الفني للملفات المستخدمة في حملة البرامج الضارة لتطبيق 3CX لسطح المكتب

في 29 مارس 2023، ظهرت تقارير عن أنشطة ضارة نشأت من تطبيق 3CX لسطح المكتب موقّع. تقوم الإصدارات Trojanized من تطبيق 3CX لسطح المكتب بتحميل ملف DLL بمحتوى ضار. تطلق DLL هجومًا متعدد المراحل على الجهاز الضحية، والمرحلة الأخيرة هي نشر سارق معلومات غير معروف.
April 4, 2023
8
دقيقة
جدول المحتوى
مثال H2
مثال H2
  • الفئة: ذكاء البرامج الضارة
  • النوع/العائلة: إنفوستيلر
  • الصناعة: تكنولوجيا المعلومات والتكنولوجيا
  • المنطقة: عالمي

ملخص تنفيذي

تهديد

  • تقوم الإصدارات Trojanized من تطبيق 3CX لسطح المكتب بتحميل ملف DLL بمحتوى ضار.
  • تطلق DLL هجومًا متعدد المراحل على الجهاز الضحية، والمرحلة الأخيرة هي نشر سارق معلومات غير معروف.
  • إنه متعدد المنصات مع إصدار macOS.

تأثير

  • يمكن اختراق البيانات الهامة مثل كلمات المرور المحفوظة من خلال المتصفحات المثبتة على نظام الضحية.

التحليل والإسناد

في 29 مارس 2023، ظهرت تقارير عن أنشطة ضارة نشأت من تطبيق 3CX لسطح المكتب موقّع. ادعى Falcon Overwatch من CrowdStrike أنه لاحظ أنشطة ضارة من كل من إصدارات Windows و macOS من التطبيق.

المنتج عبارة عن تطبيق هاتف ذكي يسمح لك بإجراء واستقبال المكالمات على سطح المكتب الفعلي. التطبيق متاح حاليًا لجميع أنظمة التشغيل الرئيسية بما في ذلك Windows و Linux و macOS. تدعي 3CX أن لديها أكثر من 600,000 عميل على مستوى العالم، وبالتالي، يمكن أن يكون لهذه الحملة آثار مدمرة.

نظرة عامة على الهجوم

عند تثبيت الإصدارات المتأثرة من تطبيق 3CX لسطح المكتب، يتم إسقاط ثلاثة ملفات بواسطة المثبت:

  • 3CXDesktopApp.exe: يستخدم لتحميل أول ملف DLL ثلاثي.
  • ffmpeg.dll: ملف تعريف الارتباط الثلاثي. وهو يحتوي على بيانات تُستخدم لقراءة كود shellcode وفك تشفيره وتنفيذه من ملف DLL الضار الثاني الذي أسقطه المثبت.
  • d3dcompiler_47.dll: يحتوي على كود shell الضار الذي يجلب .ico الملفات من مستودع GitHub (تمت إزالته الآن) وفك تشفير عناوين URL لـ C&C من تلك الملفات.

 

التحليل الفني

يبدأ الملف الثنائي المتأثر بتحميل ملف DLL المجسم ffmpeg.dll. يبحث ملف DLL هذا عن ملف DLL الضار التالي في الدليل المصدر (d3dcompiler_47.dll) ويقوم بتحميله.

استخدام CreateFileW () لتحميل d3dcompiler_47.dll

d3dcompiler_47.dll تم إلحاقه ليحتوي على رمز shellcode الضار المشفر، ويتم تحديده بواسطة علامة فريدة (0XCEFAEDFE). تم تشفير رمز الغلاف هذا باستخدام تشفير تيار RC4.

استخدام readFile () لقراءة كود الغلاف من DLL بعد العلامة 0XCEFAEDFE

ثم يتم فك تشفير رمز shellcode باستخدام مفتاح (3 ميغابايت (2BsG# @c7)، ويتم تخزينها في الذاكرة للاستخدام.

بداية حلقة فك التشفير والمفتاح المستخدم لفك التشفير

ثم، الحماية الافتراضية () يتم استخدامه لتغيير أذونات منطقة الذاكرة حيث يتم تخزين كود shellcode تنفيذ الصفحة/القراءة/الكتابة (0x40). يحتوي كود shellcode أيضًا على ملف DLL مضمن بداخله.

استخدام VirtualProtect () لجعل منطقة الذاكرة قابلة للتنفيذ، ورؤية DLL المضمنة داخل shellcode

رمز shellcode هذا عبارة عن أداة تنزيل، وهو مسؤول عن تنزيل ملفات.ico الضارة من مستودع GitHub الذي تم إزالته الآن. يقوم بإجراء هذا الطلب باستخدام سلسلة User-Agent فريدة.

سلسلة وكيل المستخدم المستخدمة لتقديم الطلب

تم تنزيل ما مجموعه 16 ملف.ico https://raw.githubusercontent[.]com/IconStorages/images/main/ ويتم إلحاق كل ملف.ico بسلسلة مشفرة في النهاية. يتم تشفير هذه السلسلة باستخدام AES و GCM ويتم ترميزها في base64.

مثال على سلسلة URL المشفرة في ملفات.ico

عند فك تشفيرها، يتم فك تشفير كل منها .ico يحتوي الملف على عنوان URL لـ C&C، والذي يُستخدم لتنزيل حمولة المرحلة النهائية. فيما يلي C & Cs التي تم فك تشفيرها لكل .ico، ويرجع الفضل في ذلك إلى ذلك نص. تم استخدام عنوان URL الأول على الأرجح كعنوان URL اختباري من قبل جهة التهديد نظرًا لأن هذا العنوان لم يستضيف أبدًا برامج ضارة.

icon0.ico

https://www.3cx[.]com/blog/event-trainings/

icon1.ico

https://msstorageazure[.]com/window

icon2.ico

https://officestoragebox[.]com/api/session

icon3.ico

https://visualstudiofactory[.]com/workload

icon4.ico

https://azuredeploystore[.]com/cloud/services

icon5.ico

https://msstorageboxes[.]com/office

icon6.ico

https://officeaddons[.]com/technologies

icon7.ico

https://sourceslabs[.]com/downloads

icon8.ico

https://zacharryblogs[.]com/feed

icon9.ico

https://pbxcloudeservices[.]com/phonesystem

icon10.ico

https://akamaitechcloudservices[.]com/v2/storage

icon11.ico

https://akamaitechcloudservices[.]com/v2/storage

icon12.ico

https://azureonlinestorage[.]com/azure/storage

icon13.ico

https://msedgepackageinfo[.]com/microsoft-edge

icon14.ico

https://glcloudservice[.]com/v1/console

icon15.ico

https://pbxsources[.]com/exchange

يُقال إن حمولة المرحلة النهائية هي سارق معلومات جديد، يسرق البيانات من المتصفحات المعروفة مثل Chrome و Edge و Brave و Firefox.

حمولة إنفوستيلر

المرحلة الأخيرة هي سرقة معلومات لم يسبق لها مثيل. باحثو الأمن في فولكسيتي لقد سميت هذا السارق مبدع. لا يمكن تشغيل أداة السرقة هذه مباشرة باستخدام rundll.exe، لأنها تتبع عملية تحميل أخرى. هذا هو السبب في أننا بذلنا قصارى جهدنا لاستخلاص استنتاجاتنا من التحليل الثابت.

يبدأ السارق بالتحقق من إصدار نظام التشغيل الذي يعمل حاليًا على نظام الضحية. بعد ذلك، يتحقق من الملف C:\Program ملفات\ 3cx تطبيق سطح المكتب\ config.json. بدون هذا الملف، لن يستمر السارق في عملياته.

يحصل على إصدار نظام التشغيل الحالي ويبحث عن الملف

بعد ذلك، يحصل السارق على معلومات اسم المضيف واسم المجال ويقوم بتنسيقها بطريقة يتم تخزينها مع إصدار نظام التشغيل. سيتم إرسال هذا على الأرجح إلى C&C كمعرف للضحية.

يتم تخزين اسم المضيف واسم المجال وإصدار نظام التشغيل الحالي معًا

 

بعد ذلك يبدأ السارق عمليات سرقة الملفات. يستخدم حلقة من ابحث عن الملف الأول () و ابحث عن الملف التالي () للعثور على البيانات المتعلقة بالمتصفحات الشائعة.

حلقة لقراءة الملفات المتعلقة بالمتصفح

يحتوي السارق على مسارات متصفحات الويب الشائعة المشفرة. فيما يلي قائمة بالمتصفحات المستهدفة والملفات ذات الصلة التي يسرقها السارق.

مسارات المتصفح المشفرة

 

Browser

File

Google Chrome

AppData\Local\Google\Chrome\User Data\History

Microsoft Edge

AppData\Local\Microsoft\Edge\User Data\History

Brave

AppData\Local\BraveSoftware\Brave-Browser\History

Mozilla Firefox

AppData\Roaming\Mozilla\Firefox\Profiles\places.sqlite

ال التاريخ تمت سرقة ملف لمتصفح Chrome وEdge وBrave، كما تمت سرقة ملف عدد الأماكن. sqlite تمت سرقة ملف Firefox. هذه الملفات مسؤولة عن تخزين محفوظات تصفح الويب ويتم تخزينها في شكل قاعدة بيانات SQLite. وهي تحتوي على عنوان URL وعنوان الصفحة وآخر وقت تمت زيارته ومعلومات أخرى متعلقة بالتصفح.

في بعض الأحيان، قد يحتوي عنوان URL الخاص بالصفحة على معلومات حساسة، مثل بيانات الاعتماد المشفرة، أو معلومات أخرى من هذا القبيل، والتي يمكن أن يستخدمها المهاجم. ومع ذلك، تجدر الإشارة إلى أن هذا نادرًا ما يحدث مع البوابات والمواقع الإلكترونية الرئيسية التي تأخذ مثل هذه البيانات.

يستخدم السارق أيضًا كراك الإنترنت LW API لتخزين المكونات التفصيلية لعنوان URL، مثل البروتوكول واسم المضيف والمنفذ والمعلمات الأخرى.

يتم استخدام كراك الإنترنت (URL)

 

يقوم السارق بتنفيذ استعلامات SQL من أجل قصر النتائج على 500 إدخال فقط، وذلك للتأكد من أنه يسرق أحدث المعلومات.

استعلامات SQL المستخدمة لأحدث المعلومات

أخيرًا، يتم تمرير البيانات المسروقة مرة أخرى إلى الوحدة الرئيسية، بحيث يمكن إرسالها إلى خادم C&C.

متغير ماك أو إس

أصيب مثبت macOS لـ 3CX أيضًا، ويعمل بشكل مختلف قليلاً:

  • مسار المكون الضار هو تطبيق 3CX لسطح المكتب. التطبيق/المحتويات/الإطار/إطار الإلكترون. الإطار/الإصدارات/a/المكتبات/libffmpeg.dylib.
  • عناوين URL مشفرة بـ XOR ومشفرة بشكل ثابت في الملف الثنائي (لم يتم استردادها من مستودع GitHub المذكور أعلاه). يتم سرد عناوين URL المستخدمة أدناه. يستخدم هذا المتغير أيضًا تنسيق طلب ويب مختلفًا قليلاً للتواصل مع عناوين URL.

msstorageazure[.]com/analysis

officestoragebox[.]com/api/biosync

visualstudiofactory[.]com/groupcore

azuredeploystore[.]com/cloud/images

msstorageboxes[.]com/xbox

officeaddons[.]com/quality

sourceslabs[.]com/status

zacharryblogs[.]com/xmlquery

pbxcloudeservices[.]com/network

pbxphonenetwork[.]com/phone

akamaitechcloudservices[.]com/v2/fileapi

azureonlinestorage[.]com/google/storage

msedgepackageinfo[.]com/ms-webview

glcloudservice[.]com/v1/status

pbxsources[.]com/queue

www.3cx[.]com/blog/event-trainings/

كشف

يمكن العثور على قاعدة YARA في المراجع قسم من هذا التقرير، من أجل الكشف عن جميع مراحل هذه الحملة.

 

مؤشرات التسوية (IOCs)

Files Obtained

SHA256

3CXDesktopApp.exe

DDE03348075512796241389DFEA5560C20A3D2A2EAC95C894E7BBED5E85A0ACC

ffmpeg.dl

7290A9AEFBB759C9B40EF8A197CF20FD098FD74DD413C4D9D81E77A31E643F49

d3dcompiler_47.dll

11BE1803E2E307B647A8A7E02D128335C448FF741BF06BF52B332E0BBF423B03

Final payload

8ab3a5eaaf8c296080fadf56b265194681d7da5da7c02562953a4cb60e147423

3CXDesktopApp-18.12.416.msi

59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983

3CXDesktopApp-18.12.416.dmg|3CXDesktopApp-latest.dmg

e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec

libffmpeg.dylib

a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67

icon0.ico

210C9882EBA94198274EBC787FE8C88311AF24932832A7FE1F1CA0261F815C3D

icon1.ico

A541E5FC421C358E0A2B07BF4771E897FB5A617998AA4876E0E1BAA5FBB8E25C

icon2.ico

D459AA0A63140CCC647E9026BFD1FCCD4C310C262A88896C57BBE3B6456BD090

icon3.ico

D459AA0A63140CCC647E9026BFD1FCCD4C310C262A88896C57BBE3B6456BD090

icon4.ico

D51A790D187439CE030CF763237E992E9196E9AA41797A94956681B6279D1B9A

icon5.ico

4E08E4FFC699E0A1DE4A5225A0B4920933FBB9CF123CDE33E1674FDE6D61444F

icon6.ico

8C0B7D90F14C55D4F1D0F17E0242EFD78FD4ED0C344AC6469611EC72DEFA6B2D

icon7.ico

F47C883F59A4802514C57680DE3F41F690871E26F250C6E890651BA71027E4D3

icon8.ico

2C9957EA04D033D68B769F333A48E228C32BCF26BD98E51310EFD48E80C1789F

icon9.ico

268D4E399DBBB42EE1CD64D0DA72C57214AC987EFBB509C46CC57EA6B214BECA

icon10.ico

C62DCE8A77D777774E059CF1720D77C47B97D97C3B0CF43ADE5D96BF724639BD

icon11.ico

C13D49ED325DEC9551906BAFB6DE9EC947E5FF936E7E40877FEB2BA4BB176396

icon12.ico

F1BF4078141D7CCB4F82E3F4F1C3571EE6DD79B5335EB0E0464F877E6E6E3182

icon13.ico

2487B4E3C950D56FB15316245B3C51FBD70717838F6F82F32DB2EFCC4D9DA6DE

icon14.ico

E059C8C8B01D6F3AF32257FC2B6FE188D5F4359C308B3684B1E0DB2071C3425C

icon15.ico

D0F1984B4FE896D0024533510CE22D71E05B20BAD74D53FAE158DC752A65782E

README.md

9B5607140EC954341035604783CD7EC0D10B887C79AE9BAAEBE915D2AB0410D7

web.pack

E7B7002D270C6316404134F796FB2B982A8F9629522160870892217712FED72D

URLs

https://www.3cx[.]com/blog/event-trainings/

https://msstorageazure[.]com/window

https://officestoragebox[.]com/api/session

https://visualstudiofactory[.]com/workload

https://azuredeploystore[.]com/cloud/services

https://msstorageboxes[.]com/office

https://officeaddons[.]com/technologies

https://sourceslabs[.]com/downloads

https://zacharryblogs[.]com/feed

https://pbxcloudeservices[.]com/phonesystem

https://akamaitechcloudservices[.]com/v2/storage

https://akamaitechcloudservices[.]com/v2/storage

https://azureonlinestorage[.]com/azure/storage

https://msedgepackageinfo[.]com/microsoft-edge

https://glcloudservice[.]com/v1/console

https://pbxsources[.]com/exchange

المراجع

ميهارديب سينغ ساوهني
شغوف للغاية بالأمن السيبراني وتطبيقه الحقيقي في حماية أصول المعلومات. أحب التعرف على طرق جديدة لاستغلال الأجهزة
لم يتم العثور على أية عناصر.

مدونات ذات صلة

هذا نص داخل كتلة div.
ذكاء البرامج الضارة
September 19, 2024
5
دقيقة
كشف الخطر: يستغل برنامج Lumma Stealer الضار صفحات CAPTCHA المزيفة
اقرأ المزيد
هذا نص داخل كتلة div.
ذكاء البرامج الضارة
September 16, 2022
دقيقة
تحطيم الأرقام القياسية: عودة الراكون
اقرأ المزيد
هذا نص داخل كتلة div.
ذكاء البرامج الضارة
January 7, 2022
دقيقة
التحليل الفني لحملة البرامج الضارة «Blister» الموقعة بالرمز (الجزء الأول)
اقرأ المزيد