Sicherheitsupdate von Dienstag, den 11. April 2023: Zwischenbilanz abgeschlossen

Posted on April 11th, 2023 by Marcus Kogel, Marketing Manager DACH, 3CX

Erste Ergebnisse von Mandiant bezüglich des Sicherheitsvorfalls

Nach der Ernennung von Mandiant zu unserem Untersuchungsteam für Sicherheitsvorfälle ist die forensische Analyse unseres Netzwerks und unserer Produkte im Gange. Hier die Zwischenbilanz mit folgendem Ergebnis:

Zuordnung

Basierend auf der bisherigen Untersuchung von Mandiant zum 3CX-Intrusions- und Lieferkettenangriff ordnen sie die Aktivität einem Cluster namens UNC4736 zu. Mandiant geht mit großer Sicherheit davon aus, dass UNC4736 eine nordkoreanische Verbindung hat.

Windows-basierte Malware

Mandiant stellte fest, dass der Angreifer gezielte 3CX-Systeme mit TAXHAUL-Malware (alias „TxRLoader“) infiziert hatte. Bei der Ausführung auf Windows-Systemen entschlüsselt und führt TAXHAUL Shellcode aus, der sich in einer Datei mit dem Namen <machine hardware profile GUID>.TxR.0.regtrans-ms befindet, die sich im Verzeichnis C:\Windows\System32\config\TxR\ befindet. Der Angreifer hat wahrscheinlich diesen Dateinamen und Speicherort gewählt, um zu versuchen, sich in Standard-Windows-Installationen einzufügen. Die Malware verwendet die Windows CryptUnprotectData-API, um den Shellcode mit einem kryptografischen Schlüssel zu entschlüsseln, der für jeden kompromittierten Host eindeutig ist, was bedeutet, dass die Daten nur auf dem infizierten System entschlüsselt werden können. Der Angreifer hat diese Designentscheidung wahrscheinlich getroffen, um die Kosten und den Aufwand einer erfolgreichen Analyse durch Sicherheitsforscher und Untersuchungskräfte zu erhöhen.

In diesem Fall war nach dem Entschlüsseln und Laden des in der Datei <machine hardware profile GUID>.TxR.0.regtrans-ms enthaltenen Shellcodes ein komplexer Downloader, den Mandiant COLDCAT nannte. Es ist jedoch erwähnenswert, dass sich diese Malware von GOPURAM unterscheidet, auf das in Kasperskys Bericht verwiesen wird.

Die folgende YARA-Regel kann verwendet werden, um nach TAXHAUL (TxRLoader) zu suchen:

rule TAXHAUL

{
    meta:
        author = "Mandiant"
        created = "04/03/2023"
        modified = "04/03/2023"
        version = "1.0"
    strings:
        $p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
        $p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
    condition:
        uint16(0) == 0x5A4D and any of them
}

Bitte beachten Sie, dass diese, ähnlich wie jede YARA-Regel, zuerst in einer Testumgebung angemessen bewertet werden sollte, bevor sie in der Produktion verwendet wird. Dies beinhaltet auch keine Garantien hinsichtlich der Fehlalarmraten sowie der Abdeckung für diese gesamte Malware-Familie und eventuelle Varianten.

MacOS-basierte Malware

Mandiant hat auch eine MacOS-Hintertür mit dem aktuellen Namen SIMPLESEA identifiziert, die sich unter /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f) befindet. Mandiant analysiert immer noch SIMPLESEA, um festzustellen, ob es sich mit einer anderen bekannten Malware-Familie überschneidet.*

Die in C geschriebene Hintertür kommuniziert über HTTP. Zu den unterstützten Backdoor-Befehlen gehören Shell-Befehlsausführung, Dateiübertragung, Dateiausführung, Dateiverwaltung und Konfigurationsaktualisierung. Es kann auch beauftragt werden, die Konnektivität einer bereitgestellten IP- und Portnummer zu testen.

Die Hintertür prüft die Existenz ihrer Konfigurationsdatei unter /private/etc/apdl.cf. Wenn es nicht vorhanden ist, wird es mit fest codierten Werten erstellt. Die Konfigurationsdatei ist Single-Byte-XOR-codiert mit dem Schlüssel 0x5e. Die C2-Kommunikation wird über HTTP-Anforderungen gesendet. Bei der ersten Ausführung wird eine Bot-ID zufällig mit der PID der Malware generiert. Die ID wird mit C2-Verbindungen gesendet. Ein kurzer Host Survey Report ist in Beacon Requests enthalten. Nachrichteninhalte werden mit der A5 Stream Cipher gemäß den Funktionsnamen in der Binärdatei verschlüsselt.

* In früheren Berichten wurde erwähnt, dass der macOS-Build-Server mit SIMPLESEA kompromittiert wurde. Mandiant Intelligence analysierte die Stichprobe und stellte fest, dass sie sich stark mit POOLRAT überschneidet, wodurch SIMPLESEA zugunsten von POOLRAT abgelehnt wurde.

Persistenz

Unter Windows nutzte der Angreifer DLL Side-Loading, um Persistenz für die TAXHAUL-Malware zu erreichen. Das Side-Loading von DLLs veranlasste infizierte Systeme, die Malware des Angreifers im Kontext legitimer Microsoft Windows-Binärdateien auszuführen, wodurch die Wahrscheinlichkeit einer Malware-Erkennung verringert wurde. Der Persistenzmechanismus stellt außerdem sicher, dass die Malware des Angreifers beim Systemstart geladen wird, sodass der Angreifer über das Internet Fernzugriff auf das infizierte System behalten kann.

Die Malware wurde C:\Windows\system32\wlbsctrl.dll genannt, um die legitime Windows-Binärdatei mit demselben Namen nachzuahmen. Die DLL wurde vom legitimen Windows-Dienst IKEEXT über die legitime Windows-Binärdatei svchost.exe geladen.