人気の電話システム VOIP/PBX ソフトウェアのプロバイダーである 3XC は、3CX デスクトップ アプリのトロイの木馬化されたバージョンに問題がありました。 600.000 か国の 190 人の顧客が回答を待っているため、3CX はフォレンジック分析の調査チームとしてスペシャリストの Mandiant を採用しました。 現在、それがおそらく北朝鮮の APT グループであるという最初の調査結果が得られています。
3CX の侵入とサプライ チェーン攻撃に関する Mandiant の以前の調査に基づいて、彼らは UNC4736 と呼ばれるクラスターにアクティビティを割り当てます。 Mandiant は、UNC4736 が北朝鮮と関係があると確信しています。
Windows ベースのマルウェア
Mandiant は、攻撃者が標的の 3CX システムを TAXHAUL マルウェア (別名「TxRLoader」) に感染させたことを発見しました。 Windows システムで実行すると、TAXHAUL は、次の名前のファイルに含まれるシェルコードを復号化して実行します。 C:\Windows\System0\config\TxR\ ディレクトリにある .TxR.32.regtrans-ms。 攻撃者は、このファイル名と場所を選択して、標準の Windows インストールにプラグインしようとした可能性があります。
マルウェアは、Windows CryptUnprotectData API を使用して、侵害された各ホストに固有の暗号化キーを使用してシェルコードを復号化します。つまり、感染したシステムでのみデータを復号化できます。 攻撃者は、セキュリティ研究者や調査員による分析を成功させるためのコストと労力を増やすために、この設計上の決定を行った可能性があります。
この場合、ファイル内の を復号化してロードした後、 .TxR.0.regtrans-ms には、Mandiant が COLDCAT と呼ぶ複雑なダウンローダが含まれていました。 ただし、このマルウェアは、 Kaspersky のレポート (単なる情報窃取者ではありません: 3CX サプライ チェーン攻撃によって展開された Gopuram バックドア) 参照されます。
MacOS ベースのマルウェア
Mandiant は、/Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f) にある現在 SIMPLESEA という名前の macOS バックドアも特定しました。 Mandiant は、まだ SIMPLESEA を分析して、別の既知のマルウェア ファミリと重複しているかどうかを確認しています。
C で記述されたバックドアは、HTTP 経由で通信します。 サポートされているバックドア コマンドには、シェル コマンドの実行、ファイル転送、ファイルの実行、ファイル管理、および構成の更新が含まれます。 また、提供された IP とポート番号の接続をテストすることもできます。
バックドアは、/private/etc/apdl.cf に設定ファイルが存在するかどうかをチェックします。 存在しない場合は、ハードコードされた値で作成されます。 構成ファイルは、キー 0x5e でエンコードされたシングルバイト XOR です。 C2 通信は、HTTP リクエストを介して送信されます。 最初の実行時に、マルウェアの PID を使用してボット ID がランダムに生成されます。 ID は C2 接続で送信されます。 短いホスト調査レポートがビーコン リクエストに含まれています。 メッセージの内容は、バイナリの関数名に従って A5 ストリーム暗号を使用して暗号化されます。
専門家によるさらなる評価
3CX は、その Web サイトで結果のさらに非公式な分析を提供しています。 TAXHAUL (TxRLoader) の検索に使用される個々のプロトコルと YARA ルールに関する詳細情報もあります。
詳細は 3CX.com をご覧ください
3CXについて
2005CX は、VoIP がまだ新興技術であった 3 年に設立されて以来、ビジネス VoIP 通信のグローバル リーダーとしての地位を確立しています。 オープンな SIP 標準と WebRTC テクノロジを使用することで、3CX は電話システムのルーツを超え、完全な通信プラットフォームへと進化しました。