Mandiant определила, что злоумышленник заразил целевые системы 3CX вредоносным ПО TAXHAUL (он же "TxRLoader").
Основываясь на результатах расследования, проведенного Mandiant в отношении вторжения 3CX и атаки на цепочку поставок, они приписывают активность кластеру под названием UNC4736. Mandiant с высокой степенью уверенности считает, что UNC4736 связан с Северной Кореей.
TAXHAUL Malware
Вредоносное ПО на базе Windows
Mandiant определила, что злоумышленник заразил целевые системы 3CX вредоносным ПО TAXHAUL (он же "TxRLoader"). При выполнении на системах Windows, TAXHAUL расшифровывает и исполняет shellcode, расположенный в файле с именем <machine hardware profile GUID>.TxR.0.regtrans-ms, находящемся в каталоге C:\Windows\System32\config\TxR\. Вероятно, злоумышленник выбрал такое имя и расположение файла, чтобы попытаться вписаться в стандартную установку Windows. Вредоносная программа использует Windows CryptUnprotectData API для расшифровки шеллкода с помощью криптографического ключа, уникального для каждого скомпрометированного узла, что означает, что данные могут быть расшифрованы только на зараженной системе. Вероятно, злоумышленник принял такое решение, чтобы увеличить затраты и усилия на успешный анализ со стороны исследователей безопасности и специалистов по реагированию на инциденты.
В данном случае после расшифровки и загрузки шеллкода, содержащегося в файле <machine hardware profile GUID>.TxR.0.regtrans-ms, появлялся сложный загрузчик, который Mandiant назвала COLDCAT. Стоит отметить, что эта вредоносная программа отличается от GOPURAM, упомянутого в отчете Касперского.
Для поиска TAXHAUL (TxRLoader) можно использовать следующее правило YARA:
| 1 2 3 4 5 6 7 8 9 10 11 12 13 | rule TAXHAUL { meta: author = "Mandiant" created = "04/03/2023" modified = "04/03/2023" version = "1.0" strings: $p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb} $p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074} condition: uint16(0) == 0x5A4D and any of them } |
Обратите внимание, что, как и любое правило YARA, это правило должно быть правильно оценено в тестовой среде перед использованием в производстве. Это правило не дает никаких гарантий относительно частоты ложных срабатываний, а также покрытия всего семейства вредоносных программ и возможных вариантов.
Вредоносное ПО на базе MacOS
Mandiant также обнаружила бэкдор для MacOS, который в настоящее время называется SIMPLESEA и находится по адресу /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f). Mandiant все еще анализирует SIMPLESEA, чтобы определить, не пересекается ли он с другим известным семейством вредоносных программ.
Бэкдор, написанный на языке C, взаимодействует через HTTP. Поддерживаемые команды бэкдора включают выполнение команд оболочки, передачу файлов, выполнение файлов, управление файлами и обновление конфигурации. Ему также может быть поручено проверить возможность подключения по заданному IP-адресу и номеру порта.
Бэкдор проверяет существование своего конфигурационного файла по адресу /private/etc/apdl.cf. Если он не существует, он создает его с жестко закодированными значениями. Конфигурационный файл кодируется однобайтовым XOR-шифром с ключом 0x5e. C2-коммуникации отправляются через HTTP-запросы. Идентификатор бота генерируется случайным образом с PID вредоносной программы при первоначальном выполнении. Этот идентификатор отправляется вместе с C2-коммуникациями. В запросы маяков включается краткий отчет об исследовании хоста. Содержимое сообщений шифруется потоковым шифром A5 в соответствии с именами функций в бинарном файле.
Постоянство
Для достижения стойкости вредоносного ПО TAXHAUL в ОС Windows злоумышленник использовал боковую загрузку DLL. Побочная загрузка DLL заставляла зараженные системы выполнять вредоносное ПО злоумышленника в контексте легитимных двоичных файлов Microsoft Windows, что снижало вероятность обнаружения вредоносного ПО. Механизм персистенции также обеспечивает загрузку вредоносного ПО злоумышленника при запуске системы, что позволяет злоумышленнику сохранять удаленный доступ к зараженной системе через Интернет.
Вредоносная программа была названа C:\Windows\system32\wlbsctrl.dll, чтобы имитировать одноименный двоичный файл легитимной Windows. DLL была загружена легитимной службой Windows IKEEXT через легитимный двоичный файл Windows svchost.exe.
Indicators of Compromise
Domains
- akamaicontainer.com
- azureonlinecloud.com
- journalide.org
- msboxonline.com
MD5
- d9d19abffc2c7dac11a16745f4aea44f
