3XC, el proveedor del popular software Phone System VOIP/PBX, tuvo un problema con una versión troyanizada de la aplicación de escritorio 3CX. Con 600.000 clientes en 190 países esperando respuestas, 3CX empleó al especialista Mandiant como equipo de investigación para el análisis forense. Ahora los primeros hallazgos están disponibles de que probablemente sea un grupo APT de Corea del Norte.
Con base en la investigación previa de Mandiant sobre la intrusión de 3CX y el ataque a la cadena de suministro, asignan la actividad a un clúster llamado UNC4736. Mandiant cree con un alto grado de certeza que UNC4736 tiene una conexión con Corea del Norte.
Malware basado en Windows
Mandiant descubrió que el atacante había infectado los sistemas 3CX objetivo con el malware TAXHAUL (también conocido como "TxRLoader"). Cuando se ejecuta en sistemas Windows, TAXHAUL descifra y ejecuta el shellcode contenido en un archivo llamado .TxR.0.regtrans-ms ubicado en el directorio C:\Windows\System32\config\TxR\. El atacante probablemente eligió este nombre de archivo y ubicación para intentar conectarse a las instalaciones estándar de Windows.
El malware usa la API CryptUnprotectData de Windows para descifrar el código de shell usando una clave criptográfica que es única para cada host comprometido, lo que significa que los datos solo se pueden descifrar en el sistema infectado. El atacante probablemente tomó esta decisión de diseño para aumentar el costo y el esfuerzo del análisis exitoso por parte de los investigadores e investigadores de seguridad.
En este caso, después de descifrar y cargar en el archivo .TxR.0.regtrans-ms contenía un descargador complejo, que Mandiant llamó COLDCAT. Sin embargo, vale la pena señalar que este malware es diferente de GOPURAM, al que se hace referencia en Informe de Kaspersky (No solo un ladrón de información: puerta trasera de Gopuram implementada a través del ataque a la cadena de suministro de 3CX) se hace referencia
Malware basado en macOS
Mandiant también identificó una puerta trasera de macOS actualmente llamada SIMPLESEA, ubicada en /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f). Mandiant todavía está analizando SIMPLESEA para ver si se superpone con otra familia de malware conocida.
Escrita en C, la puerta trasera se comunica a través de HTTP. Los comandos de puerta trasera admitidos incluyen la ejecución de comandos de shell, la transferencia de archivos, la ejecución de archivos, la administración de archivos y la actualización de la configuración. También se le puede asignar la tarea de probar la conectividad de una IP y un número de puerto proporcionados.
La puerta trasera verifica la existencia de su archivo de configuración en /private/etc/apdl.cf. Si no existe, se creará con valores codificados. El archivo de configuración está codificado en XOR de un solo byte con la clave 0x5e. La comunicación C2 se envía a través de solicitudes HTTP. En la primera ejecución, se genera aleatoriamente una ID de bot utilizando el PID del malware. El ID se envía con conexiones C2. Se incluye un breve informe de encuesta de host con las solicitudes de baliza. El contenido de los mensajes se cifra mediante el cifrado de flujo A5 de acuerdo con los nombres de las funciones en el binario.
Evaluación adicional para expertos
3CX ofrece un análisis aún más informal de los resultados en su sitio web. También hay más información sobre los protocolos individuales y las reglas YARA que se utilizarán para buscar TAXHAUL (TxRLoader).
Más en 3CX.com
Acerca de 3CX
Fundada en 2005 cuando VoIP todavía era una tecnología emergente, 3CX se ha establecido desde entonces como líder mundial en comunicaciones VoIP empresariales. Utilizando el estándar SIP abierto y la tecnología WebRTC, 3CX ha superado sus raíces de sistema telefónico y se ha convertido en una plataforma de comunicaciones completa.