Обновление безопасности, вторник, 11 апреля 2023 – промежуточное расследование завершено

Первые результаты от команды Mandiant Incident Response

После выбора компании Mandiant в качестве нашего консультанта для реагирования на инцидент безопасности, мы проводим криминалистическую экспертизу нашей сети и продуктов. Вкратце, на сегодня ситуация выглядит следующим образом.

Авторы

На основании проведенного расследования инцидента и атаки типа supply chain в 3CX, Mandiant приписывает эту деятельность кластеру UNC4736. Mandiant с высокой степенью вероятности считает, что UNC4736 связан с Северной Кореей.

Вредоносная программа для Windows

Mandiant установила, что злоумышленник заразил атакуемые системы 3CX вредоносной программой TAXHAUL (она же “TxRLoader”). При запуске на Windows, TAXHAUL расшифровывает и исполняет шелл-код из файла с именем <machine hardware profile GUID>.TxR.0.regtrans-ms в каталоге C:\Windows\System32\config\TxR\. Видимо, злоумышленники выбрали такое имя и расположение файла, чтобы замаскироваться в стандартной установке Windows. Вредоносная программа использует Windows CryptUnprotectData API для расшифровки шелл-кода криптографическим ключом, уникальным для каждого скомпрометированного узла. Это значит, что данные могут быть расшифрованы только на зараженной системе. Вероятно, хакеры сделали это для того, чтобы усложнить анализ вредоносного ПО для исследователей безопасности и специалистов по реагированию на инциденты.

После расшифровки и загрузки шелл-кода, содержащегося в файле <machine hardware profile GUID>.TxR.0.regtrans-ms, появлялся сложный загрузчик, который Mandiant назвала COLDCAT. Стоит отметить, что эта вредоносная программа отличается от GOPURAM, упомянутого в отчете Kaspersky.

Для поиска TAXHAUL (TxRLoader) можно использовать следующее правило YARA:

rule TAXHAUL
{
meta:
author = "Mandiant"
created = "04/03/2023"
modified = "04/03/2023"
version = "1.0"
strings:
$p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
$p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
condition:
uint16(0) == 0x5A4D and any of them
}

Обратите внимание, как и любое правило YARA, перед использованием в рабочем окружении его следует проверить в тестовой среде. Это правило также не дает гарантий насчет ложных срабатываний, покрытия всего семейства вредоносных программ и их вариантов.

Вредоносная программы для MacOS

Mandiant также обнаружила бэкдор для MacOS под названием SIMPLESEA, расположенный по адресу /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f). Mandiant все еще анализирует SIMPLESEA, чтобы определить, не пересекается ли он с другим известным семейством вредоносных программ.

Бэкдор написан на C и коммуницирует через HTTP. Поддерживаемые команды бэкдора – выполнение команд оболочки, передачу файлов, запуск файлов, управление файлами и обновление конфигурации. Он также может проверять возможность подключения к сети по заданному IP-адресу и номеру порта.

Бэкдор проверяет существование своего конфигурационного файла по пути /private/etc/apdl.cf. Если файла не существует, бэкдор создает его с жестко закодированными значениями. Конфигурационный файл кодируется однобайтовым XOR-шифром с ключом 0x5e. C2-коммуникации отправляются через HTTP-запросы. Идентификатор бота генерируется при первоначальном выполнении – случайным образом, с PID вредоносной программы. Этот идентификатор отправляется вместе с C2-коммуникациями. В beacon request включается краткий отчет об исследовании хоста. Содержимое сообщений шифруется потоковым шифром A5 в соответствии с именами функций в бинарном файле.

Устойчивость

В Windows злоумышленник использовал дополнительную загрузку DLL для достижения стойкости TAXHAUL. Дополнительная загрузка DLL заставляла зараженные системы выполнять вредоносное ПО злоумышленника в контексте легитимных бинарных файлов Microsoft Windows. Это снижало вероятность обнаружения вредоносного ПО. Механизм устойчивости также обеспечивает загрузку вредоносного ПО при запуске системы, что позволяло злоумышленнику использовать удаленный доступ к зараженной системе через Интернет.

Вредоносная программа была названа C:\Windows\system32\wlbsctrl.dll для имитации одноименного бинарного файла Windows. DLL загружалась легитимной службой Windows IKEEXT через легитимный бинарный файл Windows svchost.exe.

Управление

Mandiant определила, что вредоносное ПО в среде 3CX использовало следующую управляющую инфраструктуру:

• azureonlinecloud[.]com
• akamaicontainer[.]com
• journalide[.]org
• msboxonline[.]com