Comm100 Live Chat 应用程序的官方安装程序是一种广泛部署的 SaaS(软件即服务),企业用于客户沟通和网站访问者,在新的供应链攻击中被木马化。
CrowdStrike 的一份报告称,至少从 9 月 26 日到 9 月 29 日上午,供应商的网站上都提供了受感染的变体。
由于木马安装程序使用了有效的数字签名,因此防病毒解决方案在启动期间不会触发警告,从而允许隐蔽的供应链攻击。
后门细节
CrowdStrike 表示,攻击者将 JavaScript 后门植入到“main.js”文件中,该文件存在于以下版本的 Comm100 Live Chat 安装程序中:
- 10.0.72 与 SHA256 哈希 6f0fae95f5637710d1464b42ba49f9533443181262f78805d3ff13bea3b8fd45
- 10.0.8 与 SHA256 哈希 ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86
后门从硬编码的 URL(“http[:]//api.amazonawsreplay[.]com/livehelp/collect”)获取第二阶段混淆的 JS 脚本,这使攻击者可以通过远程 shell 访问受害端点命令行。
CrowdStrike 观察到攻击后活动,例如部署恶意加载程序(“MidlrtMd.dll”),这些加载程序使用 DLL 顺序劫持技术从合法 Windows 进程(如“notepad.exe”)的上下文中加载有效负载,直接从内存运行。
加载程序从 C2 获取最终的有效载荷(“许可证”)并使用硬编码的 RC4 密钥对其进行解密。
疑似中国攻击者
Crowdstrike 以中等信心将这次攻击归因于中国的威胁行为者,更具体地说,是以前看到的针对亚洲在线赌博实体的集群。
这是基于以下特征技术和发现:
- 使用聊天软件传播恶意软件
- 使用 Microsoft 元数据合并实用程序二进制文件加载名为 MidlrtMd.dll 的恶意 DLL
- 使用 Microsoft 和 Amazon 主题域以及“api”的命令和控制 (C2) 服务器的域命名约定。子域
- C2 域托管在阿里巴巴基础架构上
- 最终payload的代码包含中文注释
研究人员向 Comm100 报告了这个问题,开发人员发布了一个干净的安装程序,版本 10.0.9。强烈建议用户立即更新实时聊天应用程序。
目前,Comm100 尚未解释攻击者如何设法访问其系统并毒害合法安装程序。
昨天,加拿大网络安全中心发布了有关该事件的警报,以帮助提高可能使用木马化版本 Comm100 Live Chat 产品的组织的意识。
在帖子中,该机构强调升级到最新的非木马版本并不足以消除妥协的风险,因为威胁参与者可能已经建立了持久性。
有关感染迹象和危害指标的更多详细信息,请查看CrowdStrike 报告的底部部分。
