A 3XC, fornecedora do popular software VOIP/PBX do sistema telefônico, teve um problema com uma versão trojanizada do aplicativo de desktop 3CX. Com 600.000 clientes em 190 países esperando por respostas, a 3CX contratou o especialista Mandiant como equipe de investigação para a análise forense. Agora estão disponíveis as primeiras descobertas de que provavelmente é um grupo APT norte-coreano.
Com base na investigação anterior da Mandiant sobre a intrusão 3CX e o ataque à cadeia de suprimentos, eles atribuem a atividade a um cluster chamado UNC4736. Mandiant acredita com alto grau de certeza que o UNC4736 tem uma conexão norte-coreana.
Malware baseado no Windows
A Mandiant descobriu que o invasor infectou os sistemas 3CX de destino com o malware TAXHAUL (também conhecido como "TxRLoader"). Quando executado em sistemas Windows, o TAXHAUL descriptografa e executa o shellcode contido em um arquivo chamado .TxR.0.regtrans-ms localizado no diretório C:\Windows\System32\config\TxR\. O invasor provavelmente escolheu esse nome de arquivo e local para tentar se conectar a instalações padrão do Windows.
O malware usa a API Windows CryptUnprotectData para descriptografar o shellcode usando uma chave criptográfica exclusiva para cada host comprometido, o que significa que os dados só podem ser descriptografados no sistema infectado. O invasor provavelmente tomou essa decisão de design para aumentar o custo e o esforço de uma análise bem-sucedida por pesquisadores e investigadores de segurança.
Nesse caso, depois de descriptografar e carregar o no arquivo O .TxR.0.regtrans-ms continha um downloader complexo, que a Mandiant chamou de COLDCAT. No entanto, vale a pena notar que este malware é diferente do GOPURAM, que é referenciado em Relatório da Kaspersky (não apenas um infostealer: Gopuram backdoor implantado por meio de ataque à cadeia de suprimentos 3CX) é referenciado.
Malware baseado em MacOS
A Mandiant também identificou um backdoor do macOS atualmente denominado SIMPLESEA, localizado em /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f). A Mandiant ainda está analisando o SIMPLESEA para ver se ele se sobrepõe a outra família de malware conhecida.
Escrito em C, o backdoor se comunica por HTTP. Os comandos backdoor suportados incluem execução de comando shell, transferência de arquivo, execução de arquivo, gerenciamento de arquivo e atualização de configuração. Ele também pode ser encarregado de testar a conectividade de um IP e número de porta fornecidos.
O backdoor verifica a existência de seu arquivo de configuração em /private/etc/apdl.cf. Se não existir, será criado com valores embutidos em código. O arquivo de configuração é codificado em XOR de byte único com a chave 0x5e. A comunicação C2 é enviada por meio de solicitações HTTP. Na primeira execução, um ID de bot é gerado aleatoriamente usando o PID do malware. O ID é enviado com conexões C2. Um breve relatório de pesquisa de host está incluído nas solicitações de beacon. O conteúdo da mensagem é criptografado usando o A5 Stream Cipher de acordo com os nomes das funções no binário.
Avaliação adicional para especialistas
A 3CX oferece uma análise ainda mais informal dos resultados em seu site. Também há mais informações sobre os protocolos individuais e as regras YARA que serão usadas para pesquisar TAXHAUL (TxRLoader).
Mais em 3CX.com
Sobre 3CX
Fundada em 2005, quando o VoIP ainda era uma tecnologia emergente, a 3CX desde então se estabeleceu como líder global em comunicações VoIP empresariais. Usando o padrão SIP aberto e a tecnologia WebRTC, o 3CX superou suas raízes de sistema telefônico e evoluiu para uma plataforma de comunicação completa.