Teamplus 供應鏈攻擊

供應鏈攻擊、組織型駭客、鎖定特定目標

Author
CoreCloud CDCLab

這幾年企業資安意識抬頭,各種資安產品構築成的縱深防禦架構也越來越完善,但攻擊者也不斷地在找尋新的攻擊方案,試圖繞過這層層圍堵的資安城牆,今天要介紹的就是近年看到企業難以阻擋的例子,透過企業資安人員常有的盲區,在內部會用的正常軟體以及告警難以確認的兩大特點,讓資安人員常常為了企業的營運而主動放過,接著就一起來分析,攻擊者是如何在資安人員的眼皮下,正大光明的入侵企業內部。

時間回到2025年5月,CoreCloud CDCLab於某大型製造業端點發現異常行為,這次來源不是常見的web攻擊、釣魚郵件,也不是廠商遠端設備入侵,而是源自於該企業內辦公一定要用的軟體Teamplus,再看下去前先問各位一個問題: 如果 貴單位有在用Teamplus,看到該軟體被告警疑似為惡意程式時,資安人員會怎麼進行確認?

【事件背景】

CoreCloud 在監控時發現客戶主機遭執行可以探測指令

經追查發現,該惡意程式是使用者自網路下載安裝「TeamPlusMessengerProd-16.8.4-Setup.exe」後所建立之程式。

由於相關釣魚事件層出不窮,因此原先CoreCloud以為是使用者下載惡意釣魚程式導致。但經過與使用者確認後,使用者表示為自官方管道下載之安裝檔,故CoreCloud決定取檔深入分析此次事件以釐清情況。

【供應鏈攻擊流程】

在執行TeamPlusMessengerProd-16.8.4-Setup.exe安裝完畢後,主程式 TeamplusMessengerProd.exe 會進行更新與否的檢查,

由於 CoreCloud 觀測到的惡意程式便由此程式產生,故我們又進一步對該程式拆解分析,發現在其更新邏輯中,有一段可疑程式碼:

如果該來源機器的USERDOMAIN此環境變數中有包含「fisc」、「tai」、「mjib」、「fort」等字串,才會繼續進行更新,否則會直接因為Domain不符而結束更新。這裡顯示出攻擊者有非常明確的攻擊目標,而且可以隨著時間及需求,去改變攻擊的標的,或是將目標改成所有用到該產品的單位,對攻擊者來說都是可以輕鬆達到。

接著將圖中的base64編碼字串解開後,

可以發現若是User Domain符合條件的機器,會前往 https://download.teamplus.com.tw:31000/External/messenger/Upgrade.zip下載Upgrade.zip,並繼續後續更新作業。

實際下載並解壓縮Upgrade.zip後,可以發現該壓縮檔包含這4個檔案,這亦與CoreCloud觀測到的後門啟動行為相符。

【惡意程式分析】

這四個檔案中,TeamplusSquirrel.exe實則是由「VsGraphicsDesktopEngine.exe」這支有微軟簽章的程式改名偽裝而成。由於該程式為正常微軟程式,故在VirusTotal上為0分。

該程式主要用途是透過DLL Side-Loading手法來載入惡意的DLL檔(VsGraphicsProxyStub.dll) 以規避資安軟體偵測。實際針對該DLL檔逆向分析後可以發現該DLL會載入第一層ShellCode w32log.tmp至記憶體中執行。此ShellCode負責載入並解密遭加密混淆的真正RAT後門程式ytajoxo.ix

於記憶體中成功載入真正的RAT後門後,便開始嘗試往中繼站連線。

此外,該惡意程式亦有透過新增 CurrentVersion\Run 機碼來實現常駐執行

由於是透過供應鏈攻擊,我們發現在短時間內便有多台主機因為TeamPlus自動更新而遭植入惡意程式

【結論】

此次事件之攻擊者與以往供應鏈攻擊方式有所區別,近期常看到的供應鏈是由廠商設備遠端時進行跳板入侵,這種還能從網路設備進行分析確認。但本次是透過企業內部購買的軟體,並且不更動最開始的安裝檔,因為現在很多安裝檔都是直接轉交或是由特定人員下載後分享在企業內部網路,甚至在檢查上也相對容易,可如果在更新伺服器上進行竄改更新檔,則有相對多的好處:

難以識別確認:因為更新時常常會下載多個檔案,企業或廠商皆難以發現是否其中多夾帶了惡意程式,此外,下載由單位內購買軟體所為,會容易讓資安人員判定為企業內正常行為,進而白名單程式。

可以隨時更換惡意程式:攻擊者可以隨時於廠商更新伺服器更換惡意程式,接著在程式正常更新時,就會自動將惡意程式下載至設備中,不會需要額外操作。

輕鬆感染不同單位:攻擊者不用研究不同企業的資安架構,透過此種攻擊,可以輕易進入企業內部,並獲取高權限帳號,攻擊難度大大降低。

另外一方面,為了避免引起注意,且將精力專注於目標單位,僅針對部分Domain含有符合他們設定的高價值目標「fisc」、「tai」、「mjib」、「fort」等做攻擊。顯見攻擊者不僅已摸透該供應商,還具有極度高的針對性,鎖定台灣特定目標進行滲透。此手法不僅隱蔽不易遭發現,也可以透過不斷更新不同的Domain篩選關鍵字,再不引起注意的情況下,逐步滲透該供應商的所有客戶。此次攻擊手法凸顯了針對受信任的供應商,仍應建立一套完整的偵測防護機制,建議企業應逐步完成以下事項

  • 1. 建立端點異常行為偵測機制。
  • 2. 規劃資安事件發現、分析、調查、處理及強化完整流程。
  • 3. 建立資安告警與誤報的判定程序。

除此之外,由於此為一年前的資安事件,攻擊者這期間目標皆可能轉移至任何單位,因此有使用相關軟體建議儘速確認以下事項:

  • 1. 企業內部軟體更新時,是否有異常檔案被下載並進行情蒐探勘。
  • 2. 是否有駭客後門潛伏於單位內,定時進行資料竊取。
  • 3. 高權限帳號登入“成功”後,是否有撈取AD資料或放入後門程式等行為。

如有需要協助,也歡迎各位聯繫中芯數據團隊,我們將竭盡全力協助各位,確認企業內部狀況,建立預防機制,避免此類型資安事件發生。

【IOC】

  • Hotfix[.]update[.]windowshotfix[.]com
  • SHA1:f5f4b026e6c62d559c88b12a4f7b74989189d3bc