3CX SUPPLY CHAIN
A large multinational corporation heavily relies on the 3CX software for phone communication, making it a critical component of their business operations. After a recent update to the 3CX Desktop App, antivirus alerts flag sporadic instances of the software being wiped from some workstations while others remain unaffected. Dismissing this as a false positive, the IT team overlooks the alerts, only to notice degraded performance and strange network traffic to unknown servers. Employees report issues with the 3CX app, and the IT security team identifies unusual communication patterns linked to recent software updates.
As the threat intelligence analyst, it's your responsibility to examine this possible supply chain attack. Your objectives are to uncover how the attackers compromised the 3CX app, identify the potential threat actor involved, and assess the overall extent of the incident.
Category: Threat Intel || Level: EASY || Tools: Virus Total
Diberikan sebuah file 3CXDesktopApp-18.12.416.msi untuk di analisis.
Q1. Understanding the scope of the attack and identifying which versions exhibit malicious behavior is crucial for making informed decisions if these compromised versions are present in the organization. How many versions of 3CX running on Windows have been flagged as malware?
Dari sumber ini menginformasikan bahwa yang ditandai sebagai malware adalah 2 Versi yaitu 18.12.407 & 18.12.416 yang juga dikonfirmasi termasuk pada CVE-2023-29059
Q2. Determining the age of the malware can help assess the extent of the compromise and track the evolution of malware families and variants. What's the UTC creation time of the .msi malware?
Pada Virus Total menunjukkan bahwa file 3CXDesktopApp-18.12.416.msi pertama kali dibuat di sistem tempat file tersebut berasal yaitu 2023-03-13 06:33:26 UTC
Q3. Executable files (.exe) are frequently used as primary or secondary malware payloads, while dynamic link libraries (.dll) often load malicious code or enhance malware functionality. Analyzing files deposited by the Microsoft Software Installer (.msi) is crucial for identifying malicious files and investigating their full potential. Which malicious DLLs were dropped by the .msi file?
File .msi tersebut saat dieksekusi, secara diam-diam mengekstrak dan menempatkan dua file berbahaya, yaitu "ffmpeg.dll" dan "d3dcompiler_47.dll", ke direktori C:\Users\[user_name]\AppData\Local\Programs\3CXDesktopApp\app. Kedua file ini berfungsi sebagai komponen berbahaya yang kemungkinan digunakan untuk menjalankan kode jahat, memfasilitasi komunikasi dengan server perintah dan kontrol (C2), atau memanipulasi proses sistem, sehingga memungkinkan malware untuk tetap tersembunyi dan mempertahankan persistensi di dalam sistem.
Q4. Recognizing the persistence techniques used in this incident is essential for current mitigation strategies and future defense improvements. What is the MITRE sub-technique ID employed by the .msi files to load the malicious DLL?
MITRE sub-technique T1574.002 merujuk pada "DLL Search Order Hijacking", yaitu teknik di mana malware memanfaatkan urutan pencarian DLL di sistem operasi Windows untuk memuat DLL berbahaya.
Dalam insiden ini, file .msi menempatkan DLL berbahaya (ffmpeg.dll dan d3dcompiler_47.dll) di direktori aplikasi 3CX. Ketika aplikasi dijalankan, Windows secara otomatis memuat DLL dari lokasi ini sebelum mencari di direktori sistem, sehingga memungkinkan eksekusi kode jahat tanpa memodifikasi file asli aplikasi. Teknik ini efektif untuk menjaga persistensi karena memanfaatkan mekanisme bawaan Windows, membuatnya sulit terdeteksi.
Q5. Recognizing the malware type (threat category) is essential to your investigation, as it can offer valuable insight into the possible malicious actions you'll be examining. What is the threat category of the two malicious DLLs?
Kategori ancaman (threat category) untuk kedua DLL berbahaya ini (ffmpeg.dll & d3dcompiler_47.dll) adalah Trojan. Kedua file ini menyamar sebagai file sah yang digunakan oleh aplikasi 3CX, tetapi sebenarnya mengandung kode berbahaya yang memuat muatan tambahan, menjalin komunikasi dengan server perintah dan kontrol (C2), serta melakukan aktivitas jahat lainnya. Teknik penyamaran ini merupakan ciri khas **Trojan**, yang menyamar untuk mengelabui pengguna atau sistem agar mengizinkan eksekusi file berbahaya tanpa terdeteksi.
Q6. As a threat intelligence analyst conducting dynamic analysis, it's vital to understand how malware can evade detection in virtualized environments or analysis systems. This knowledge will help you effectively mitigate or address these evasive tactics. What is the MITRE ID for the virtualization/sandbox evasion techniques used by the two malicious DLLs?
Q7. When conducting malware analysis and reverse engineering, understanding anti-analysis techniques is vital to avoid wasting time. Which hypervisor is targeted by the anti-analysis techniques in the ffmpeg.dll file? VMware
Q8. Identifying the cryptographic method used in malware is crucial for understanding the techniques employed to bypass defense mechanisms and execute its functions fully. What encryption algorithm is used by the ffmpeg.dll file?
Teknik penghindaran analisis yang digunakan oleh dua malicious DLL (ffmpeg.dll dan d3dcompiler_47.dll) ini merujuk pada teknik virtualization/sandbox evasion dengan MITRE ID T1497. Teknik ini digunakan untuk menghindari deteksi saat malware dijalankan dalam virtualized environments atau analysis systems. Dalam kasus ini, ffmpeg.dll menargetkan VMware sebagai hypervisor yang digunakan untuk analisis malware, sehingga menghindari deteksi atau pengamatan yang dilakukan dalam lingkungan virtual. Selain itu, untuk melewati mekanisme pertahanan dan menjalankan fungsinya secara penuh, ffmpeg.dll menggunakan algoritma enkripsi RC4, yang sering digunakan untuk menyembunyikan data atau komunikasi dengan command and control (C2) servers, serta menghindari deteksi oleh alat keamanan. Teknik-teknik ini biasanya dirancang untuk menjaga persistence dan stealth dari aktivitas jahat malware.
Q9. As an analyst, you've recognized some TTPs involved in the incident, but identifying the APT group responsible will help you search for their usual TTPs and uncover other potential malicious activities. Which group is responsible for this attack?
Kelompok APT yang bertanggung jawab atas serangan ini adalah Lazarus Group, yang juga dikenal dengan nama Labyrinth Chollima dan SuddenIcon. Lazarus Group adalah kelompok peretas yang berhubungan dengan Korea Utara dan dikenal karena melakukan serangan canggih, termasuk cyber espionage dan cybercrime. Kelompok ini sering menggunakan teknik serangan supply chain untuk menginfeksi aplikasi yang sah, seperti yang terlihat dalam kasus 3CX.
Selain Lazarus Group, nama Labyrinth Chollima juga sering digunakan untuk merujuk pada kelompok yang sama, terutama ketika menggambarkan serangan atau taktik tertentu. SuddenIcon adalah salah satu alias yang digunakan dalam konteks yang lebih spesifik untuk menggambarkan taktik atau kampanye yang dilakukan oleh kelompok ini. Meskipun Lazarus Group adalah nama yang lebih dikenal secara internasional, Labyrinth Chollima dan SuddenIcon memberikan identitas tambahan dalam beberapa laporan ancaman
