Ο επίσημος installer για την εφαρμογή Comm100 Live Chat, ένα ευρέως διαδεδομένο SaaS (software-as-a-service) που χρησιμοποιούν οι επιχειρήσεις για την επικοινωνία με τους πελάτες και τους επισκέπτες του ιστότοπου, έγινε trojanized ως μέρος μιας νέας επίθεσης supply chain.

Μια αναφορά από το CrowdStrike λέει ότι η μολυσμένη παραλλαγή ήταν διαθέσιμη από τον ιστότοπο του vendor τουλάχιστον από τις 26 Σεπτεμβρίου έως το πρωί της 29ης Σεπτεμβρίου.

Επειδή ο trojanized installer χρησιμοποιούσε μια έγκυρη ψηφιακή υπογραφή, οι λύσεις antivirus δεν θα ενεργοποιούσαν προειδοποιήσεις κατά την εκκίνηση του, επιτρέποντας μια κρυφή επίθεση supply chain.

Λεπτομέρειες backdoor

Το CrowdStrike λέει ότι οι εισβολείς εμφύτευσαν ένα JavaScript backdoor στο αρχείο “main.js” που υπάρχει στις ακόλουθες εκδόσεις του installer Comm100 Live Chat:

  • 10.0.72 with SHA256 Hash 6f0fae95f5637710d1464b42ba49f9533443181262f78805d3ff13bea3b8fd45
  • 10.0.8 with SHA256 Hash ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86

Το backdoor ανακτά ένα obfuscated JS script δεύτερου σταδίου από ένα hard-coded URL (“http[:]//api.amazonawsreplay[.]com/livehelp/collect”), το οποίο δίνει στους εισβολείς remote shell access στα “victimized endpoints” μέσω της γραμμής εντολών.

Το CrowdStrike παρατήρησε δραστηριότητα μετά το compromise, όπως η ανάπτυξη κακόβουλων loader (“MidlrtMd.dll”) που χρησιμοποιούν την τεχνική DLL order-hijacking για τη φόρτωση του payload μέσα από το πλαίσιο νόμιμων διαδικασιών των Windows, όπως το “notepad.exe”, που εκτελούνται απευθείας από τη μνήμη.

Ο loader παίρνει το τελικό payload (“άδεια”) από το C2 και χρησιμοποιεί ένα hard-coded κλειδί RC4 για να το αποκρυπτογραφήσει.

Ποιος πραγματοποιήσε την επίθεση

Το Crowdstrike αποδίδει την επίθεση – με κάθε επιφύλαξη – σε απειλητικούς παράγοντες που εδρεύουν στην Κίνα και, πιο συγκεκριμένα, σε ένα cluster που είχε προηγουμένως δει ότι στοχεύει ασιατικές οντότητες διαδικτυακού τζόγου.

Αυτό βασίζεται στις ακόλουθες χαρακτηριστικές τεχνικές και ευρήματα:

  • τη χρήση chat software για την παράδοση κακόβουλου λογισμικού
  • τη χρήση του binary Microsoft Metadata Merge Utility για τη φόρτωση ενός κακόβουλου DLL με το όνομα MidlrtMd.dll
  • “domain-naming convention” για command and control (C2) servers που χρησιμοποιούν domain με θέμα τη Microsoft και την Amazon μαζί με τα ‘api.’ subdomains
  • Τα C2 domains φιλοξενούνται στην υποδομή της Alibaba
  • ο κώδικας για το τελικό payload περιέχει σχόλια στα κινέζικα

Οι ερευνητές ανέφεραν το πρόβλημα στο Comm100 και ο προγραμματιστής κυκλοφόρησε έναν καθαρό installer, την έκδοση 10.0.9. Συνιστάται στους χρήστες να ενημερώσουν άμεσα την εφαρμογή Live Chat.

Προς το παρόν, το Comm100 δεν έχει δώσει εξηγήσεις σχετικά με το πώς οι εισβολείς κατάφεραν να αποκτήσουν πρόσβαση στα συστήματά του και να “δηλητηριάσουν” το νόμιμο πρόγραμμα εγκατάστασης.

Χθες, το Καναδικό Κέντρο για την Κυβερνοασφάλεια δημοσίευσε μια ειδοποίηση σχετικά με το περιστατικό για να βοηθήσει στην ευαισθητοποίηση των οργανισμών που ενδέχεται να χρησιμοποιούν μια trojanized έκδοση του προϊόντος Comm100 Live Chat.

Στη δημοσίευση, ο οργανισμός τονίζει ότι η αναβάθμιση στην πιο πρόσφατη, μη trojanized έκδοση δεν είναι αρκετή για να εξαλειφθεί ο κίνδυνος παραβίασης, επειδή οι απειλητικοί φορείς μπορεί να έχουν ήδη εδραιώσει το persistence.

Για περισσότερες λεπτομέρειες στο report της CrowdStrike.

Πηγή πληροφοριών: bleepingcomputer.com