Der profilierte Cybersicherheits-Beratungsdienst Mandiant wurde von 3CX beauftragt Licht in die Umstände des 3CX Sicherheitsvorfalls zu bringen und eine forensische Analyse des Netzwerks und der 3CX Produkte vorzunehmen. Nun gibt es eine Zwischenbilanz mit folgendem Ergebnis:
Nach bisherigen Untersuchung von Mandiant zum 3CX-Intrusions- und Lieferkettenangriff wird die Aktivität einem Cluster namens UNC4736 zugeordnet. Mandiant geht mit großer Sicherheit davon aus, dass UNC4736 eine nordkoreanische Verbindung hat.

Der Angreifer habe gezielte 3CX-Systeme mit TAXHAUL-Malware (alias „TxRLoader“) infiziert hatte. Bei der Ausführung auf Windows-Systemen entschlüsselt und führt TAXHAUL Shellcode aus, der sich in einer Datei mit dem Namen .TxR.0.regtrans-ms befindet, die sich im Verzeichnis C:\Windows\System32\config\TxR\ befindet. Der Angreifer hat wahrscheinlich diesen Dateinamen und Speicherort gewählt, um zu versuchen, sich in Standard-Windows-Installationen einzufügen. Die Malware verwendet die Windows CryptUnprotectData-API, um den Shellcode mit einem kryptografischen Schlüssel zu entschlüsseln, der für jeden kompromittierten Host eindeutig ist, was bedeutet, dass die Daten nur auf dem infizierten System entschlüsselt werden können. Diese Designentscheidung wurden wahrscheinlich getroffen, um die Kosten und den Aufwand einer erfolgreichen Analyse durch Sicherheitsforscher und Untersuchungskräfte zu erhöhen.

In diesem Fall war nach dem Entschlüsseln und Laden des in der Datei .TxR.0.regtrans-ms enthaltenen Shellcodes ein komplexer Downloader, den Mandiant COLDCAT nannte. Es ist jedoch erwähnenswert, dass sich diese Malware von GOPURAM unterscheidet, auf das in Kasperskys Bericht verwiesen wird.

3CX gibt an das die folgende YARA-Regel verwendet werden kann, um nach TAXHAUL (TxRLoader) zu suchen:

rule TAXHAUL

{
    meta:
        author = "Mandiant"
        created = "04/03/2023"
        modified = "04/03/2023"
        version = "1.0"
    strings:
        $p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
        $p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
    condition:
        uint16(0) == 0x5A4D and any of them
}

Bitte beachten Sie, dass diese, ähnlich wie jede YARA-Regel, zuerst in einer Testumgebung angemessen bewertet werden sollte, bevor sie in der Produktion verwendet wird. Dies beinhaltet auch keine Garantien hinsichtlich der Fehlalarmraten sowie der Abdeckung für diese gesamte Malware-Familie und eventuelle Varianten.

Mandiant hat auch eine MacOS-Hintertür mit dem aktuellen Namen SIMPLESEA identifiziert, die sich unter /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f) befindet. Mandiant analysiert immer noch SIMPLESEA, um festzustellen, ob es sich mit einer anderen bekannten Malware-Familie überschneidet.

Die in C geschriebene Hintertür kommuniziert über HTTP. Zu den unterstützten Backdoor-Befehlen gehören Shell-Befehlsausführung, Dateiübertragung, Dateiausführung, Dateiverwaltung und Konfigurationsaktualisierung. Es kann auch beauftragt werden, die Konnektivität einer bereitgestellten IP- und Portnummer zu testen.

Die Hintertür prüft die Existenz ihrer Konfigurationsdatei unter /private/etc/apdl.cf. Wenn es nicht vorhanden ist, wird es mit fest codierten Werten erstellt. Die Konfigurationsdatei ist Single-Byte-XOR-codiert mit dem Schlüssel 0x5e. Die C2-Kommunikation wird über HTTP-Anforderungen gesendet. Bei der ersten Ausführung wird eine Bot-ID zufällig mit der PID der Malware generiert. Die ID wird mit C2-Verbindungen gesendet. Ein kurzer Host Survey Report ist in Beacon Requests enthalten. Nachrichteninhalte werden mit der A5 Stream Cipher gemäß den Funktionsnamen in der Binärdatei verschlüsselt.

Unter Windows nutzte der Angreifer DLL Side-Loading, um Persistenz für die TAXHAUL-Malware zu erreichen. Das Side-Loading von DLLs veranlasste infizierte Systeme, die Malware des Angreifers im Kontext legitimer Microsoft Windows-Binärdateien auszuführen, wodurch die Wahrscheinlichkeit einer Malware-Erkennung verringert wurde. Der Persistenzmechanismus stellt außerdem sicher, dass die Malware des Angreifers beim Systemstart geladen wird, sodass der Angreifer über das Internet Fernzugriff auf das infizierte System behalten kann.

Die Malware wurde C:\Windows\system32\wlbsctrl.dll genannt, um die legitime Windows-Binärdatei mit demselben Namen nachzuahmen. Die DLL wurde vom legitimen Windows-Dienst IKEEXT über die legitime Windows-Binärdatei svchost.exe geladen.

Die Malware nutzt innerhalb der 3CX-Umgebung die folgende Command-and-Control-Infrastruktur:

azureonlinecloud[.]com
akamaicontainer[.]com
journalide[.]org
msboxonline[.]com

Die Ritter Technologie GmbH bittet nochmals um Zusammenarbeit und die Ausführung folgender Schritte:

3CX hat die neu signierte APP veröffentlicht. Die Sourcen der App wurden durch Mandiant begutachtet und freigegeben.

Wie auch schon bei den vorangegangenen Updates werden wir diese auf den durch uns verwalteten Anlagen einspielen.

Die neue APP trägt die Versionsnummer 18.12.425, Ihre Clients werden Sie nach erfolgter Installation auf das Update hinweisen, wir empfehlen dringend dieses auch zu installieren. Bitte deinstallieren Sie die alte App bevor die neue installiert wird..