3XC, le fournisseur du populaire logiciel Phone System VOIP/PBX, a eu un problème avec une version trojanisée de l'application de bureau 3CX. Avec 600.000 190 clients dans 3 pays attendant des réponses, XNUMXCX a engagé le spécialiste Mandiant comme équipe d'enquête pour l'analyse médico-légale. Maintenant, les premières découvertes sont disponibles qu'il s'agit probablement d'un groupe APT nord-coréen.
Sur la base de l'enquête précédente de Mandiant sur l'intrusion 3CX et l'attaque de la chaîne d'approvisionnement, ils attribuent l'activité à un cluster appelé UNC4736. Mandiant croit avec un haut degré de certitude que l'UNC4736 a une connexion nord-coréenne.
Logiciels malveillants basés sur Windows
Mandiant a découvert que l'attaquant avait infecté les systèmes 3CX ciblés avec le malware TAXHAUL (alias "TxRLoader"). Lorsqu'il est exécuté sur des systèmes Windows, TAXHAUL déchiffre et exécute le shellcode contenu dans un fichier nommé .TxR.0.regtrans-ms situé dans le répertoire C:\Windows\System32\config\TxR\. L'attaquant a probablement choisi ce nom de fichier et cet emplacement pour essayer de se connecter aux installations Windows standard.
Le logiciel malveillant utilise l'API Windows CryptUnprotectData pour déchiffrer le shellcode à l'aide d'une clé cryptographique unique pour chaque hôte compromis, ce qui signifie que les données ne peuvent être déchiffrées que sur le système infecté. L'attaquant a probablement pris cette décision de conception pour augmenter le coût et les efforts d'une analyse réussie par les chercheurs et les enquêteurs en sécurité.
Dans ce cas, après avoir déchiffré et chargé le dans le fichier .TxR.0.regtrans-ms contenait un téléchargeur complexe, que Mandiant appelait COLDCAT. Cependant, il convient de noter que ce malware est différent de GOPURAM, qui est référencé dans Rapport de Kaspersky (Pas seulement un voleur d'informations : la porte dérobée Gopuram déployée via l'attaque de la chaîne d'approvisionnement 3CX) est référencé.
Logiciels malveillants basés sur MacOS
Mandiant a également identifié une porte dérobée macOS actuellement nommée SIMPLESEA, située dans /Library/Graphics/Quartz (MD5 : d9d19abffc2c7dac11a16745f4aea44f). Mandiant analyse toujours SIMPLESEA pour voir s'il chevauche une autre famille de logiciels malveillants connus.
Écrit en C, la porte dérobée communique via HTTP. Les commandes de porte dérobée prises en charge incluent l'exécution de commandes shell, le transfert de fichiers, l'exécution de fichiers, la gestion de fichiers et la mise à jour de la configuration. Il peut également être chargé de tester la connectivité d'une adresse IP et d'un numéro de port fournis.
La porte dérobée vérifie l'existence de son fichier de configuration dans /private/etc/apdl.cf. S'il n'existe pas, il sera créé avec des valeurs codées en dur. Le fichier de configuration est codé XOR sur un octet avec la clé 0x5e. La communication C2 est envoyée via des requêtes HTTP. Lors de la première exécution, un ID de bot est généré de manière aléatoire à l'aide du PID du logiciel malveillant. L'ID est envoyé avec les connexions C2. Un court rapport d'enquête auprès des hôtes est inclus avec les demandes de balise. Le contenu des messages est chiffré à l'aide du chiffrement de flux A5 en fonction des noms de fonction dans le binaire.
Évaluation complémentaire pour les experts
3CX propose une analyse encore plus informelle des résultats sur son site internet. Il existe également plus d'informations sur les protocoles individuels et les règles YARA qui seront utilisées pour rechercher TAXHAUL (TxRLoader).
Plus sur 3CX.com
À propos de 3CX
Fondé en 2005 alors que la VoIP était encore une technologie émergente, 3CX s'est depuis imposé comme un leader mondial des communications VoIP professionnelles. En utilisant le standard ouvert SIP et la technologie WebRTC, 3CX a dépassé ses racines de système téléphonique et a évolué pour devenir une plateforme de communication complète.