¿Estás visitando desde Argentina?
Ingresá a Linware Argentina ⯈
Continuar en Linware Argentina ⯈
×
¿Qué estás buscando?
BUSCAR!
BLOG
Resultados iniciales obligatorios de la actualización de seguridad
Publicada el 11/04/2023

Resultados iniciales de la respuesta a incidentes de Mandiant

Tras el nombramiento de Mandiant del equipo de respuesta a incidentes de seguridad, se está realizando un análisis forense de la red y del producto. En pocas palabras, la evaluación intermedia concluyó:

Atribución

Con base en la investigación de Mandiant sobre la intrusión de 3CX y el ataque a la cadena de suministro hasta el momento, atribuyen la actividad a un clúster llamado UNC4736. Mandiant evalúa con gran confianza que UNC4736 tiene un nexo con Corea del Norte.

Malware basado en Windows

Mandiant determinó que el atacante infectó los sistemas 3CX objetivo con el malware TAXHAUL (también conocido como “TxRLoader”). Cuando se ejecuta en sistemas Windows, TAXHAUL descifra y ejecuta el código shell ubicado en un archivo llamado .TxR.0.regtrans-ms ubicado en el directorio C:\Windows\System32\config\TxR\. El atacante probablemente eligió este nombre de archivo y ubicación para intentar mezclarse con las instalaciones estándar de Windows. El malware utiliza la API CryptUnprotectData de Windows para descifrar el código shell con una clave criptográfica que es única para cada host comprometido, lo que significa que los datos solo se pueden descifrar en el sistema infectado. Es probable que el atacante haya tomado esta decisión de diseño para aumentar el costo y el esfuerzo del análisis exitoso por parte de los investigadores de seguridad y los respondedores de incidentes.

En este caso, después de descifrar y cargar el código de shell contenido en el archivo .TxR.0.regtrans-ms había un descargador complejo que Mandiant denominó COLDCAT . Sin embargo, vale la pena señalar que este malware difiere de GOPURAM al que se hace referencia en el informe de Kaspersky .

La siguiente regla YARA se puede utilizar para buscar TAXHAUL (TxRLoader):

rule TAXHAUL
{
meta:
author = "Mandiant"
created = "04/03/2023"
modified = "04/03/2023"
version = "1.0"
strings:
$p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
$p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
condition:
uint16(0) == 0x5A4D and any of them
}

Tenga en cuenta que, de manera similar a cualquier regla YARA, esto debe evaluarse correctamente dentro de un entorno de prueba antes de su uso en producción. Esto tampoco incluye garantías con respecto a las tasas de falsos positivos, así como la cobertura de toda esta familia de malware y posibles variantes.

Malware basado en MacOS

Mandiant también identificó una puerta trasera de MacOS, actualmente llamada SIMPLESEA , ubicada en /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f). Mandiant aún está analizando SIMPLESEA para determinar si se superpone con otra familia de malware conocida.

El backdoor escrito en C se comunica a través de HTTP. Los comandos de puerta trasera admitidos incluyen la ejecución de comandos de shell, la transferencia de archivos, la ejecución de archivos, la administración de archivos y la actualización de la configuración. También se le puede asignar la tarea de probar la conectividad de una IP y un número de puerto proporcionados.

La puerta trasera verifica la existencia de su archivo de configuración en /private/etc/apdl.cf. Si no existe, lo crea con valores codificados. El archivo de configuración está codificado en XOR de un solo byte con la clave 0x5e. Las comunicaciones C2 se envían a través de solicitudes HTTP. Se genera una identificación de bot aleatoriamente con el PID del malware en la ejecución inicial. El id se envía con comunicaciones C2. Se incluye un breve informe de encuesta de host en las solicitudes de baliza. El contenido del mensaje se cifra con el cifrado de flujo A5 de acuerdo con los nombres de función en el binario.

Persistencia

En Windows, el atacante usó la carga lateral de DLL para lograr la persistencia del malware TAXHAUL . La carga lateral de DLL activó los sistemas infectados para ejecutar el malware del atacante dentro del contexto de los binarios legítimos de Microsoft Windows, lo que redujo la probabilidad de detección de malware. El mecanismo de persistencia también garantiza que el malware del atacante se cargue al iniciar el sistema, lo que permite que el atacante conserve el acceso remoto al sistema infectado a través de Internet.

El malware se denominó C:\Windows\system32\wlbsctrl.dll para imitar el binario legítimo de Windows del mismo nombre. La DLL fue cargada por el servicio legítimo de Windows IKEEXT a través del binario legítimo de Windows svchost.exe.

Comando y control

Mandiant identificó que el malware dentro del entorno 3CX hacía uso de la siguiente infraestructura de comando y control:

  • azureonlinecloud[.]com
  • akamaicontainer[.]com
  • periodismo[.]org
  • msboxonline[.]com
Ir al Blog