Comm100实时聊天软件被劫持传播后门

Crowdstrike 最近发布了一份报告，详细介绍了针对流行的基于商业聊天的客户参与平台的安装程序的新供应链攻击，以传播恶意软件。

主要发现

该攻击的特点是通过 Comm100 的 Windows 桌面代理软件安装程序交付的木马恶意软件，名为 Comm100 Live Chat。据报道，该变体在 9 月 26 日至 9 月 29 日期间在 Comm100 的网站上保持活跃。

受感染的安装程序使用Comm100 Network Corporation 证书的有效数字签名，允许它在启动期间绕过防病毒解决方案警告。

攻击者将 JavaScript 后门植入到 Comm100 Live Chat 安装程序版本 10.0.72 和 10.0.8 中的“main.js”文件中。

后门从硬编码的 URL 中获取第二阶段的混淆 JS 脚本，这使攻击者能够获得对受害端点的远程 shell 访问权限。

妥协后的活动

观察到攻击者部署了恶意加载程序（“MidlrtMd.dll”），该加载程序使用 DLL 顺序劫持技术将有效负载加载到直接从内存运行的 Windows 进程中。

恶意加载程序从 C2 获取最终的有效载荷（许可证）并使用硬编码的 RC4 密钥对其进行解密。

归因

Crowdstrike 研究人员基于恶意软件中存在中文评论、使用阿里巴巴基础设施托管服务器以及其它相同因素，以适度的信心便将这次攻击归因于中国黑客。

结束的想法

Comm100 发布了 Live Chat 应用程序版本 10.0.9，一个干净的安装程序，并建议用户立即更新 Live Chat 应用程序。加拿大网络安全中心发布了有关涉及 Comm100 实时聊天应用程序木马版本事件的警报。

原文始发于微信公众号（网络研究院）：Comm100实时聊天软件被劫持传播后门