TAXHAUL Malware IOCs

malware IOC
Опубликовано

Mandiant определила, что злоумышленник заразил целевые системы 3CX вредоносным ПО TAXHAUL (он же "TxRLoader").

Основываясь на результатах расследования, проведенного Mandiant в отношении вторжения 3CX и атаки на цепочку поставок, они приписывают активность кластеру под названием UNC4736. Mandiant с высокой степенью уверенности считает, что UNC4736 связан с Северной Кореей.

TAXHAUL Malware

Вредоносное ПО на базе Windows

Mandiant определила, что злоумышленник заразил целевые системы 3CX вредоносным ПО TAXHAUL (он же "TxRLoader"). При выполнении на системах Windows, TAXHAUL расшифровывает и исполняет shellcode, расположенный в файле с именем <machine hardware profile GUID>.TxR.0.regtrans-ms, находящемся в каталоге C:\Windows\System32\config\TxR\. Вероятно, злоумышленник выбрал такое имя и расположение файла, чтобы попытаться вписаться в стандартную установку Windows. Вредоносная программа использует Windows CryptUnprotectData API для расшифровки шеллкода с помощью криптографического ключа, уникального для каждого скомпрометированного узла, что означает, что данные могут быть расшифрованы только на зараженной системе. Вероятно, злоумышленник принял такое решение, чтобы увеличить затраты и усилия на успешный анализ со стороны исследователей безопасности и специалистов по реагированию на инциденты.

В данном случае после расшифровки и загрузки шеллкода, содержащегося в файле <machine hardware profile GUID>.TxR.0.regtrans-ms, появлялся сложный загрузчик, который Mandiant назвала COLDCAT. Стоит отметить, что эта вредоносная программа отличается от GOPURAM, упомянутого в отчете Касперского.

Для поиска TAXHAUL (TxRLoader) можно использовать следующее правило YARA:

rule TAXHAUL
{
meta:
author = "Mandiant"
created = "04/03/2023"
modified = "04/03/2023"
version = "1.0"
strings:
$p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
$p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
condition:
uint16(0) == 0x5A4D and any of them
}

Обратите внимание, что, как и любое правило YARA, это правило должно быть правильно оценено в тестовой среде перед использованием в производстве. Это правило не дает никаких гарантий относительно частоты ложных срабатываний, а также покрытия всего семейства вредоносных программ и возможных вариантов.

Вредоносное ПО на базе MacOS

Mandiant также обнаружила бэкдор для MacOS, который в настоящее время называется SIMPLESEA и находится по адресу /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f). Mandiant все еще анализирует SIMPLESEA, чтобы определить, не пересекается ли он с другим известным семейством вредоносных программ.

Бэкдор, написанный на языке C, взаимодействует через HTTP. Поддерживаемые команды бэкдора включают выполнение команд оболочки, передачу файлов, выполнение файлов, управление файлами и обновление конфигурации. Ему также может быть поручено проверить возможность подключения по заданному IP-адресу и номеру порта.

Бэкдор проверяет существование своего конфигурационного файла по адресу /private/etc/apdl.cf. Если он не существует, он создает его с жестко закодированными значениями. Конфигурационный файл кодируется однобайтовым XOR-шифром с ключом 0x5e. C2-коммуникации отправляются через HTTP-запросы. Идентификатор бота генерируется случайным образом с PID вредоносной программы при первоначальном выполнении. Этот идентификатор отправляется вместе с C2-коммуникациями. В запросы маяков включается краткий отчет об исследовании хоста. Содержимое сообщений шифруется потоковым шифром A5 в соответствии с именами функций в бинарном файле.

Постоянство

Для достижения стойкости вредоносного ПО TAXHAUL в ОС Windows злоумышленник использовал боковую загрузку DLL. Побочная загрузка DLL заставляла зараженные системы выполнять вредоносное ПО злоумышленника в контексте легитимных двоичных файлов Microsoft Windows, что снижало вероятность обнаружения вредоносного ПО. Механизм персистенции также обеспечивает загрузку вредоносного ПО злоумышленника при запуске системы, что позволяет злоумышленнику сохранять удаленный доступ к зараженной системе через Интернет.

Вредоносная программа была названа C:\Windows\system32\wlbsctrl.dll, чтобы имитировать одноименный двоичный файл легитимной Windows. DLL была загружена легитимной службой Windows IKEEXT через легитимный двоичный файл Windows svchost.exe.

Indicators of Compromise

Domains

  • akamaicontainer.com
  • azureonlinecloud.com
  • journalide.org
  • msboxonline.com

MD5

  • d9d19abffc2c7dac11a16745f4aea44f
Похожие записи:
  1. UNC4191 Malware IOCs
  2. Vidar Malware IOC
  3. MetaStealer Malware IOC
  4. CryptoShuffler Malware IOC
  5. FFDroider Malware IOC
3CXDesktopApp COLDCAT Malware Mandiant SIMPLESEA TAXHAUL UNC4736
Добавить комментарий