3XC, il fornitore del popolare software VOIP/PBX per sistemi telefonici, ha riscontrato un problema con una versione trojanizzata dell'app desktop 3CX. Con 600.000 clienti in 190 paesi in attesa di risposte, 3CX ha assunto lo specialista Mandiant come squadra investigativa per l'analisi forense. Ora sono disponibili i primi riscontri che probabilmente si tratta di un gruppo APT nordcoreano.
Sulla base della precedente indagine di Mandiant sull'intrusione 3CX e sull'attacco alla catena di approvvigionamento, assegnano l'attività a un cluster chiamato UNC4736. Mandiant crede con un alto grado di certezza che UNC4736 abbia una connessione con la Corea del Nord.
Malware basato su Windows
Mandiant ha scoperto che l'aggressore aveva infettato i sistemi 3CX mirati con il malware TAXHAUL (noto anche come "TxRLoader"). Quando viene eseguito su sistemi Windows, TAXHAUL decrittografa ed esegue lo shellcode contenuto in un file denominato .TxR.0.regtrans-ms situato nella directory C:\Windows\System32\config\TxR\. L'attaccante probabilmente ha scelto questo nome file e posizione per provare a collegarsi alle installazioni standard di Windows.
Il malware utilizza l'API Windows CryptUnprotectData per decrittografare lo shellcode utilizzando una chiave crittografica univoca per ciascun host compromesso, il che significa che i dati possono essere decrittografati solo sul sistema infetto. È probabile che l'attaccante abbia preso questa decisione progettuale per aumentare il costo e lo sforzo di un'analisi riuscita da parte di ricercatori e investigatori della sicurezza.
In questo caso, dopo aver decrittografato e caricato il file .TxR.0.regtrans-ms conteneva un downloader complesso, che Mandiant chiamò COLDCAT. Tuttavia, vale la pena notare che questo malware è diverso da GOPURAM, a cui si fa riferimento in Rapporto di Kaspersky (Non solo un ladro di informazioni: la backdoor di Gopuram implementata tramite un attacco alla catena di fornitura 3CX) è referenziato.
Malware basato su MacOS
Mandiant ha anche identificato una backdoor macOS attualmente denominata SIMPLESEA, situata in /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f). Mandiant sta ancora analizzando SIMPLESEA per vedere se si sovrappone a un'altra famiglia di malware nota.
Scritta in C, la backdoor comunica tramite HTTP. I comandi backdoor supportati includono l'esecuzione di comandi shell, il trasferimento di file, l'esecuzione di file, la gestione di file e l'aggiornamento della configurazione. Può anche essere incaricato di testare la connettività di un IP e un numero di porta forniti.
La backdoor controlla l'esistenza del suo file di configurazione in /private/etc/apdl.cf. Se non esiste, verrà creato con valori codificati. Il file di configurazione è XOR a byte singolo codificato con chiave 0x5e. La comunicazione C2 viene inviata tramite richieste HTTP. Alla prima esecuzione, viene generato casualmente un ID bot utilizzando il PID del malware. L'ID viene inviato con connessioni C2. Un breve rapporto del sondaggio host è incluso nelle richieste beacon. I contenuti dei messaggi vengono crittografati utilizzando A5 Stream Cipher in base ai nomi delle funzioni nel file binario.
Ulteriore valutazione per esperti
3CX offre un'analisi ancora più informale dei risultati sul suo sito web. Sono inoltre disponibili ulteriori informazioni sui singoli protocolli e sulle regole YARA che verranno utilizzate per la ricerca di TAXHAUL (TxRLoader).
Altro su 3CX.com
A proposito di 3CX
Fondata nel 2005 quando il VoIP era ancora una tecnologia emergente, 3CX da allora si è affermata come leader globale nelle comunicazioni VoIP aziendali. Utilizzando lo standard SIP aperto e la tecnologia WebRTC, 3CX ha superato le radici del suo sistema telefonico e si è evoluto in una piattaforma di comunicazione completa.