I primi risultati di Mandiant

In seguito alla nomina di Mandiant, come team di risposta agli incidenti di sicurezza, è in corso l’analisi informatica della nostra rete e dei nostri prodotti. In breve, la valutazione provvisoria ha concluso che:

Attribuzione

Sulla base delle indagini condotte finora da Mandiant, sull’attacco alla catena di fornitura, attribuisce l’attività a un cluster denominato UNC4736. Mandiant valuta, con elevata fiducia, che UNC4736 abbia un legame con la Corea del Nord.

Malware basato su Windows

Mandiant ha determinato che l’aggressore ha infettato i sistemi 3CX mirati con il malware TAXHAUL (alias “TxRLoader”). Quando viene eseguito sui sistemi Windows, TAXHAUL decodifica ed esegue lo shellcode situato in un file denominato .TxR.0.regtrans-ms situato nella directory C:\Windows\System32\config\TxR\. L’aggressore ha probabilmente scelto questo nome di file e questa posizione per tentare di mimetizzarsi nelle installazioni standard di Windows. Il malware utilizza l’API CryptUnprotectData di Windows per decifrare lo shellcode con una chiave crittografica unica per ogni host compromesso, il che significa che i dati possono essere decifrati solo sul sistema infetto. L’aggressore ha probabilmente preso questa decisione di progettazione per aumentare il costo e l’impegno di un’analisi efficace da parte dei ricercatori di sicurezza e dei tecnici che rispondono agli incidenti.

In questo caso, dopo la decriptazione e il caricamento dello shellcode contenuto nel file .TxR.0.regtrans-ms è stato creato un downloader complesso che Mandiant ha chiamato COLDCAT. Vale la pena notare, tuttavia, che questo malware differisce da GOPURAM citato nel report di Kaspersky.

La seguente regola YARA può essere utilizzata per cercare TAXHAUL (TxRLoader):

{
meta:
author = “Mandiant”
created = “04/03/2023”
modified = “04/03/2023”
version = “1.0”
strings:
$p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
$p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
condition:
uint16(0) == 0x5A4D and any of them
}

Si noti che, analogamente a qualsiasi regola YARA, questa dovrebbe essere valutata correttamente in un ambiente di test prima di essere utilizzata in produzione. Inoltre, non ci sono garanzie per quanto riguarda i tassi di falsi positivi e la copertura dell’intera famiglia di malware e delle eventuali varianti.

Malware basato su MacOS

Mandiant ha identificato anche una backdoor per MacOS, attualmente denominata SIMPLESEA, situata in /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f). Mandiant sta ancora analizzando SIMPLESEA per determinare se si sovrappone a un’altra famiglia di malware nota.*

La backdoor scritta in C comunica via HTTP. I comandi supportati dalla backdoor includono l’esecuzione di comandi di shell, il trasferimento di file, l’esecuzione di file, la gestione di file e l’aggiornamento della configurazione. Può anche essere incaricata di testare la connettività di un IP e di un numero di porta forniti.

La backdoor controlla l’esistenza del suo file di configurazione in /private/etc/apdl.cf. Se non esiste, lo crea con valori codificati. Il file di configurazione è codificato XOR a singolo byte con la chiave 0x5e. Le comunicazioni C2 sono inviate tramite richieste HTTP. Al momento dell’esecuzione iniziale, viene generato un id bot casuale con il PID del malware. L’id viene inviato con le comunicazioni C2. Un breve rapporto di indagine sull’host è incluso nelle richieste di beacon. I contenuti dei messaggi sono crittografati con il cifrario A5 in base ai nomi delle funzioni presenti nel binario.

* Le segnalazioni precedenti indicavano che il server di compilazione macOS era stato compromesso con SIMPLESEA. Mandiant Intelligence ha analizzato il campione e ha determinato un elevato grado di overlap del codice con POOLRAT, deprecando SIMPLESEA a favore di POOLRAT.

Persistenza

Su Windows, l’aggressore ha utilizzato il side-loading delle DLL per ottenere la persistenza del malware TAXHAUL. Il side-loading delle DLL innescava i sistemi infetti per eseguire il malware dell’aggressore nel contesto di binari Microsoft Windows legittimi, riducendo la probabilità di rilevamento del malware. Il meccanismo di persistenza garantisce inoltre che il malware dell’aggressore venga caricato all’avvio del sistema, consentendo all’aggressore di mantenere l’accesso remoto al sistema infetto tramite Internet.

Il malware è stato denominato C:\Windows\system32\wlbsctrl.dll per imitare l’omonimo binario legittimo di Windows. La DLL è stata caricata dal servizio legittimo di Windows IKEEXT attraverso il binario legittimo di Windows svchost.exe.

Comando e controllo

Mandiant ha identificato che il malware all’interno dell’ambiente 3CX utilizzava la seguente infrastruttura di comando e controllo:
azureonlinecloud[.]com
akamaicontainer[.]com
journalide[.]org
msboxonline[.]com