Beveiligingsupdate dinsdag 11 april 2023 – Tussentijdse evaluatie afgesloten

Eerste resultaten van Mandiant Incident Response

Na aanstelling van Mandiant is de forensische analyse van ons netwerk en product in volle gang. De tussentijdse conclusie in het kort:

Toeschrijving

Op basis van het Mandiant-onderzoek naar de supply chain attack, wordt de aanval tot dusver toegeschreven aan een groep met de naam UNC4736. Mandiant is ervan overtuigd dat UNC4736 een link heeft met Noord-Korea.

Windows based Malware

Mandiant heeft vastgesteld dat de aanvaller zich heeft gericht op 3CX-systemen middels TAXHAUL (AKA “TxRLoader”) malware. Wanneer op Windows-systemen uitgevoerd, decodeert en voert TAXHAUL de shellcode uit  in een bestand <machine hardware profile GUID>.TxR.0.regtrans-ms in de map C:\WindowsSystem32\TxR. De aanvaller heeft hier waarschijnlijk voor gekozen om op te gaan in standaard Windows installaties. De malware gebruikt de Windows CryptUnprotectData API om de shellcode te decoderen met een cryptographic key die uniek is voor elke gecompromitteerde host. Dit betekent dat de gegevens alleen op het geïnfecteerde systeem kunnen worden gedecodeerd. De aanvaller heeft waarschijnlijk voor dit ontwerp gekozen om het de onderzoekers moeilijker te maken en op kosten te jagen.

In dit geval was na het decoderen en laden van de shellcode in het bestand <machine hardware profile GUID>.TxR.0.regtrans-ms een complexe downloader die Mandiant COLDCAT noemt. Deze malware verschilt echter van de GOPURAM die in het rapport van Kaspersky wordt genoemd.

De volgende YARA-rule kan worden gebruikt om op TAXHAUL (TxRLoader) op te sporen:

regel TAXHAUL
{
meta:
author = "Mandiant"
created = "04/03/2023"
modified = "04/03/2023"
versie = "1.0"
strings:
$p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
$p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
voorwaarde:
uint16(0) == 0x5A4D en een van hen
}

Let op, beoordeel deze YARA rule net als ieder andere eerst in de testomgeving. Er zijn geen garanties rond false-positives of dekking voor deze malwarefamilie en eventuele varianten.

MacOS based malware

Mandiant heeft ook een MacOS-backdoor geïdentificeerd, momenteel wordt deze SIMPLESEA genoemd. Deze bevindt zich in /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f). Op dit moment analyseert Mandant SIMPLESEA nog om te bepalen of deze overlappen vertoont met een andere bekende malwarefamilie.*

De in C geschreven backdoor communiceert via HTTP. Ondersteunde backdoor-commando’s omvatten shell command execution, file transfer, file execution, file management, en configuration updating. Het kan ook de opdracht krijgen om de connectiviteit van een opgegeven IP en poortnummer te testen.

De backdoor controleert op het bestaan van zijn configuratiebestand in /private/etc/apdl.cf. Wanneer deze niet bestaat, maakt het deze aan met hard-coded values. Het configuratiebestand is single-byte XOR gecodeerd met key 0x5e. C2 comms worden verzonden via HTTP requests. Een bot-id wordt willekeurig gegenereerd met de PID van de malware bij de eerste uitvoering. De id wordt verzonden via C2-communicatie. Een kort host survey report wordt opgenomen in de beacon requests. De inhoud van berichten wordt versleuteld met het A5 stream cipher volgens de functienamen in de binary.

* Eerdere berichtgeving meldde dat de macOS build server was geïnfecteerd met SIMPLESEA. Na analyse concludeert Mandiant dat er een grote mate van overlap is met POOLRAT. Hierdoor wordt SIMPLESA afgeschreven.

Hardnekkig

Voor Windows gebruikte de aanvaller DLL side-loading voor de TAXHAUL-malware. DLL side-loading activeerde geïnfecteerde systemen door de malware van de aanvaller uit te voeren binnen de legitieme Microsoft Windows-binary files. Hierdoor werd de kans op detectie verkleind. Het mechanisme zorgt er ook voor dat de malware van de aanvaller bij het opstarten van het systeem wordt geladen. De aanvaller zou dan via het internet op afstand toegang houden tot het geïnfecteerde systeem.

De malware kreeg de naam C:\Windows\system32\bsctrl.dll om de legitieme Windows binary met dezelfde naam na te bootsen. De DLL werd geladen door de legitieme Windows service IKEEXT via de legitieme Windows binary svchost.exe.

Command en Control

Mandiant stelde vast dat malware binnen de 3CX-omgeving gebruikmaakte van de volgende infrastructuur voor command en control:

azureonlinecloud[.]com
akamaicontainer[.]com
journalide[.]org
msboxonline[.]com