У 3XC, постачальника популярного програмного забезпечення Phone System VOIP/PBX, виникла проблема з троянською версією настільного додатка 3CX. Оскільки 600.000 190 клієнтів у 3 країнах чекають на відповіді, XNUMXCX найняла спеціаліста Mandiant як слідчу групу для судово-медичного аналізу. Тепер є перші дані про те, що це, ймовірно, північнокорейська група APT.
Ґрунтуючись на попередньому розслідуванні 3CX вторгнення та атаки на ланцюжок поставок, Mandiant призначає активність кластеру під назвою UNC4736. Mandiant з високим ступенем впевненості вважає, що UNC4736 має зв'язок з Північною Кореєю.
Шкідливе програмне забезпечення для Windows
Mandiant виявив, що зловмисник заразив цільові системи 3CX зловмисним програмним забезпеченням TAXHAUL (він же «TxRLoader»). Під час запуску в системах Windows TAXHAUL розшифровує та виконує шелл-код, що міститься у файлі під назвою .TxR.0.regtrans-ms у каталозі C:\Windows\System32\config\TxR\. Ймовірно, зловмисник вибрав це ім’я файлу та розташування, щоб спробувати підключитися до стандартної інсталяції Windows.
Зловмисне програмне забезпечення використовує Windows CryptUnprotectData API для розшифровки шелл-коду за допомогою криптографічного ключа, унікального для кожного скомпрометованого хоста, що означає, що дані можуть бути розшифровані лише в зараженій системі. Зловмисник, імовірно, прийняв це проектне рішення, щоб збільшити вартість і зусилля для успішного аналізу дослідниками безпеки та слідчими.
У цьому випадку після розшифровки та завантаження у файл .TxR.0.regtrans-ms містив складний завантажувач, який Mandiant назвав COLDCAT. Однак варто зазначити, що це зловмисне програмне забезпечення відрізняється від GOPURAM, яке згадується в Звіт Касперського (Не просто інфокрадик: бекдор Gopuram, розгорнутий через атаку на ланцюг поставок 3CX) є посилання.
Зловмисне програмне забезпечення на основі MacOS
Mandiant також виявив бекдор macOS під назвою SIMPLESEA, розташований у /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f). Mandiant все ще аналізує SIMPLESEA, щоб перевірити, чи збігається воно з іншим відомим сімейством шкідливих програм.
Написаний на C, бекдор спілкується через HTTP. Підтримувані бекдор-команди включають виконання команд оболонки, передачу файлів, виконання файлів, керування файлами та оновлення конфігурації. Йому також можна доручити перевірити підключення наданої IP-адреси та номера порту.
Бекдор перевіряє наявність свого файлу конфігурації за адресою /private/etc/apdl.cf. Якщо його не існує, його буде створено із жорстко закодованими значеннями. Файл конфігурації є однобайтовим XOR, закодованим ключем 0x5e. Зв’язок C2 надсилається через запити HTTP. Під час першого запуску ідентифікатор бота генерується випадковим чином з використанням PID зловмисного програмного забезпечення. Ідентифікатор надсилається разом із з’єднаннями C2. Короткий звіт про опитування хоста включено до запитів на маяки. Вміст повідомлення шифрується за допомогою A5 Stream Cipher відповідно до імен функцій у двійковому файлі.
Подальша оцінка для експертів
3CX пропонує ще більш неформальний аналіз результатів на своєму веб-сайті. Також є додаткова інформація про окремі протоколи та правила YARA, які використовуватимуться для пошуку TAXHAUL (TxRLoader).
Більше на 3CX.com
Про 3CX
Заснована в 2005 році, коли VoIP ще була технологією, що розвивається, 3CX з тих пір зарекомендувала себе як світовий лідер у бізнес-зв'язку VoIP. Використовуючи відкритий стандарт SIP і технологію WebRTC, 3CX переросла коріння телефонної системи та перетворилася на повноцінну комунікаційну платформу.