Popüler Telefon Sistemi VOIP/PBX yazılımının sağlayıcısı olan 3XC, 3CX masaüstü uygulamasının trojenleştirilmiş bir sürümüyle ilgili bir sorun yaşadı. 600.000 ülkede yanıt bekleyen 190 müşteriyle 3CX, adli tıp analizi için soruşturma ekibi olarak uzman Mandiant'ı görevlendirdi. Şimdi, muhtemelen Kuzey Koreli bir APT grubu olduğuna dair ilk bulgular mevcut.
Mandiant'ın 3CX izinsiz girişi ve tedarik zinciri saldırısıyla ilgili önceki araştırmasına dayanarak, etkinliği UNC4736 adlı bir kümeye atarlar. Mandiant, UNC4736'nın bir Kuzey Kore bağlantısı olduğuna büyük bir kesinlikle inanıyor.
Windows tabanlı kötü amaçlı yazılım
Mandiant, saldırganın hedeflenen 3CX sistemlerine TAXHAUL kötü amaçlı yazılımı ("TxRLoader" olarak da bilinir) bulaştırdığını tespit etti. TAXHAUL, Windows sistemlerinde çalıştırıldığında, adlı bir dosyada bulunan kabuk kodunun şifresini çözer ve yürütür. .TxR.0.regtrans-ms, C:\Windows\System32\config\TxR\ dizininde bulunur. Saldırgan, standart Windows yüklemelerine bağlanmayı denemek için büyük olasılıkla bu dosya adını ve konumu seçmiştir.
Kötü amaçlı yazılım, Windows CryptUnprotectData API'sini, güvenliği ihlal edilen her ana bilgisayara özel bir şifreleme anahtarı kullanarak kabuk kodunun şifresini çözmek için kullanır; bu, verilerin yalnızca virüslü sistemde şifresinin çözülebileceği anlamına gelir. Saldırgan, bu tasarım kararını büyük olasılıkla güvenlik araştırmacıları ve müfettişler tarafından yapılan başarılı analizlerin maliyetini ve çabasını artırmak için almıştır.
Bu durumda, dosyanın şifresini çözüp yükledikten sonra .TxR.0.regtrans-ms, Mandiant'ın COLDCAT adını verdiği karmaşık bir indirici içeriyordu. Ancak, bu kötü amaçlı yazılımın aşağıda belirtilen GOPURAM'dan farklı olduğunu belirtmekte fayda var. Kaspersky'nin raporu (Sadece bir bilgi hırsızı değil: 3CX tedarik zinciri saldırısı yoluyla dağıtılan Gopuram arka kapısı) başvurulur.
MacOS tabanlı kötü amaçlı yazılım
Mandiant ayrıca /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f) konumunda bulunan ve şu anda SIMPLESEA olarak adlandırılan bir macOS arka kapısı da belirledi. Mandiant, bilinen başka bir kötü amaçlı yazılım ailesiyle çakışıp çakışmadığını görmek için SIMPLESEA'yı hâlâ analiz ediyor.
C dilinde yazılan arka kapı, HTTP üzerinden iletişim kurar. Desteklenen arka kapı komutları, kabuk komut yürütme, dosya aktarımı, dosya yürütme, dosya yönetimi ve yapılandırma güncellemesini içerir. Sağlanan bir IP ve bağlantı noktası numarasının bağlantısını test etme görevi de verilebilir.
Arka kapı /private/etc/apdl.cf adresinde yapılandırma dosyasının varlığını kontrol eder. Mevcut değilse, sabit kodlanmış değerlerle oluşturulacaktır. Yapılandırma dosyası, 0x5e anahtarıyla kodlanmış tek baytlık XOR'dur. C2 iletişimi HTTP istekleri aracılığıyla gönderilir. İlk çalıştırmada, kötü amaçlı yazılımın PID'si kullanılarak rastgele bir bot kimliği oluşturulur. Kimlik, C2 bağlantılarıyla gönderilir. Beacon İsteklerine kısa bir Ana Bilgisayar Anketi Raporu dahildir. İleti içerikleri, ikili dosyadaki işlev adlarına göre A5 Akış Şifresi kullanılarak şifrelenir.
Uzmanlar için daha fazla değerlendirme
3CX, web sitesinde sonuçların daha gayri resmi bir analizini sunar. Ayrıca, TAXHAUL'u (TxRLoader) aramak için kullanılacak bireysel protokoller ve YARA kuralları hakkında daha fazla bilgi bulunmaktadır.
Daha fazlası 3CX.com'da
3CX Hakkında
2005 yılında, VoIP hala gelişmekte olan bir teknolojiyken kurulan 3CX, o zamandan beri iş VoIP iletişiminde küresel bir lider olarak kendini kanıtlamıştır. Açık SIP standardını ve WebRTC teknolojisini kullanan 3CX, telefon sistemi köklerini aşmış ve eksiksiz bir iletişim platformuna dönüşmüştür.