3XC, लोकप्रिय फ़ोन सिस्टम VOIP/PBX सॉफ़्टवेयर के प्रदाता को 3CX डेस्कटॉप ऐप के ट्रोजनाइज़्ड संस्करण के साथ समस्या थी। 600.000 देशों में 190 ग्राहक उत्तर की प्रतीक्षा कर रहे हैं, 3CX ने फोरेंसिक विश्लेषण के लिए जांच टीम के रूप में विशेषज्ञ मैंडिएंट को नियुक्त किया है। अब पहले निष्कर्ष उपलब्ध हैं कि यह संभवतः उत्तर कोरियाई एपीटी समूह है।
3CX घुसपैठ और आपूर्ति श्रृंखला हमले में मैंडिएंट की पिछली जांच के आधार पर, वे गतिविधि को UNC4736 नामक क्लस्टर को सौंपते हैं। मैंडिएंट उच्च स्तर की निश्चितता के साथ विश्वास करता है कि UNC4736 का उत्तर कोरियाई संबंध है।
विंडोज-आधारित मैलवेयर
मैंडिएंट ने पाया कि हमलावर ने लक्षित 3CX सिस्टम को TAXHAUL मालवेयर (उर्फ "TxRLoader") से संक्रमित किया था। जब विंडोज सिस्टम पर चलाया जाता है, तो TAXHAUL नामित फ़ाइल में निहित शेलकोड को डिक्रिप्ट और निष्पादित करता है .TxR.0.regtrans-ms C:\Windows\System32\config\TxR\ निर्देशिका में स्थित है। हमलावर ने मानक विंडोज इंस्टॉलेशन में प्लग इन करने की कोशिश करने के लिए संभवतः इस फ़ाइल नाम और स्थान को चुना है।
मैलवेयर Windows CryptUnprotectData API का उपयोग क्रिप्टोग्राफ़िक कुंजी का उपयोग करके शेलकोड को डिक्रिप्ट करने के लिए करता है जो प्रत्येक समझौता किए गए होस्ट के लिए अद्वितीय है, जिसका अर्थ है कि डेटा को केवल संक्रमित सिस्टम पर डिक्रिप्ट किया जा सकता है। हमलावर ने संभवतः सुरक्षा शोधकर्ताओं और जांचकर्ताओं द्वारा सफल विश्लेषण की लागत और प्रयास को बढ़ाने के लिए यह डिज़ाइन निर्णय लिया।
इस स्थिति में, फाइल में डिक्रिप्ट और लोड करने के बाद .TxR.0.regtrans-ms में एक जटिल डाउनलोडर शामिल था, जिसे मैंडिएंट ने COLDCAT कहा था। हालाँकि, यह ध्यान देने योग्य है कि यह मैलवेयर GOPURAM से भिन्न है, जिसका संदर्भ में दिया गया है कास्परस्की की रिपोर्ट (सिर्फ एक इन्फोस्टीलर नहीं: 3CX आपूर्ति श्रृंखला हमले के माध्यम से तैनात गोपुरम बैकडोर) संदर्भित है।
MacOS आधारित मैलवेयर
मैंडियंट ने /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f) पर स्थित SIMPLESEA नाम के एक macOS बैकडोर की भी पहचान की है। Mandiant अभी भी SIMPLESEA का विश्लेषण कर रहा है यह देखने के लिए कि क्या यह किसी अन्य ज्ञात मैलवेयर परिवार के साथ ओवरलैप करता है।
C में लिखा गया है, बैकडोर HTTP पर संचार करता है। समर्थित बैकडोर कमांड में शेल कमांड एक्जीक्यूशन, फाइल ट्रांसफर, फाइल एक्जीक्यूशन, फाइल मैनेजमेंट और कॉन्फ़िगरेशन अपडेट शामिल हैं। इसे प्रदान किए गए आईपी और पोर्ट नंबर की कनेक्टिविटी का परीक्षण करने का काम भी सौंपा जा सकता है।
/private/etc/apdl.cf पर पिछले दरवाजे इसकी कॉन्फ़िगरेशन फ़ाइल के अस्तित्व के लिए जाँच करता है। यदि यह मौजूद नहीं है, तो इसे हार्ड-कोडेड मानों के साथ बनाया जाएगा। कॉन्फ़िगरेशन फ़ाइल सिंगल-बाइट XOR है जो कुंजी 0x5e के साथ एन्कोडेड है। C2 संचार HTTP अनुरोधों के माध्यम से भेजा जाता है। पहली बार चलाने पर, मैलवेयर के PID का उपयोग करके बेतरतीब ढंग से एक बॉट आईडी उत्पन्न की जाती है। आईडी C2 कनेक्शन के साथ भेजी जाती है। बीकन अनुरोधों के साथ एक संक्षिप्त मेजबान सर्वेक्षण रिपोर्ट शामिल की गई है। बाइनरी में फ़ंक्शन नामों के अनुसार A5 स्ट्रीम सिफर का उपयोग करके संदेश सामग्री को एन्क्रिप्ट किया गया है।
विशेषज्ञों के लिए आगे का मूल्यांकन
3CX अपनी वेबसाइट पर परिणामों का और भी अधिक अनौपचारिक विश्लेषण प्रदान करता है। व्यक्तिगत प्रोटोकॉल और YARA नियमों के बारे में अधिक जानकारी भी है जिसका उपयोग TAXHAUL (TxRLoader) की खोज के लिए किया जाएगा।
3CX.com पर अधिक
3CX के बारे में
2005 में स्थापित जब वीओआईपी अभी भी एक उभरती हुई तकनीक थी, तब से 3सीएक्स ने व्यापार वीओआईपी संचार में एक वैश्विक नेता के रूप में खुद को स्थापित किया है। खुले SIP मानक और WebRTC तकनीक का उपयोग करते हुए, 3CX ने अपने फोन सिस्टम की जड़ों को पार कर लिया है और एक पूर्ण संचार प्लेटफॉर्म में विकसित हो गया है।