Atualização de Segurança 11/abr/23 | Resultados Iniciais Mandiant

Atualização de Segurança Terça-feira, 11 de Abril de 2023 – Avaliação Provisória Concluída

Posted on April 11th, 2023 by Giovanna Saldanha, Tradutora e Colaboradora

Resultados Iniciais da Resposta a Incidentes da Mandiant

Após a nomeação da Mandiant como nossa equipe de resposta a incidentes de segurança, a análise forense em nossa rede e produto está em andamento. Em poucas palavras, a avaliação intermediária concluiu:

Atribuição

Com base na investigação da Mandiant sobre a intrusão 3CX e o ataque à cadeia de suprimentos até agora, eles atribuem a atividade a um cluster chamado UNC4736. A Mandiant avalia com alta confiança que o UNC4736 tem um nexo norte-coreano.

Malware Baseado no Windows

Os resultados iniciais mandiant determinaram que o invasor infectou sistemas 3CX direcionados com o malware TAXHAUL (também conhecido como “TxRLoader”). Quando executado em sistemas Windows, o TAXHAUL descriptografa e executa o shellcode localizado em um arquivo chamado <machine hardware profile GUID>.TxR.0.regtrans-ms localizado no diretório C:\Windows\System32\config\TxR\. O invasor provavelmente escolheu esse nome de arquivo e local para tentar se misturar às instalações padrão do Windows. O malware usa a API Windows CryptUnprotectData para descriptografar o shellcode com uma chave criptográfica exclusiva para cada host comprometido, o que significa que os dados só podem ser descriptografados no sistema infectado. O invasor provavelmente tomou essa decisão de design para aumentar o custo e o esforço da análise bem-sucedida por pesquisadores de segurança e respondentes de incidentes.

Nesse caso, após descriptografar e carregar o shellcode contido no arquivo <GUID do perfil de hardware da máquina>.TxR.0.regtrans-ms era um downloader complexo que a Mandiant chamou de COLDCAT. Vale a pena notar, no entanto, que este malware difere do GOPURAM referenciado no relatório da Kaspersky.

A seguinte regra YARA pode ser usada para caçar TAXHAUL (TxRLoader):

rule TAXHAUL { meta: author = "Mandiant" created = "04/03/2023" modified = "04/03/2023" version = "1.0" strings: $p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb} $p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074} condition: uint16(0) == 0x5A4D and any of them }

Observe que, de maneira semelhante a qualquer regra YARA, isso deve ser avaliado adequadamente em um ambiente de teste antes do uso na produção. Isso também não oferece garantias em relação às taxas de falsos positivos, bem como cobertura para toda essa família de malware e eventuais variantes.

Malware Baseado em MacOS

A Mandiant também identificou um backdoor do MacOS, atualmente denominado SIMPLESEA, localizado em /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f). A Mandiant ainda está analisando o SIMPLESEA para determinar se ele se sobrepõe a outra família de malware conhecida.

O backdoor escrito em C se comunica via HTTP. Os comandos backdoor suportados incluem execução de comandos shell, transferência de arquivos, execução de arquivos, gerenciamento de arquivos e atualização de configuração. Ele também pode ser encarregado de testar a conectividade de um IP e número de porta fornecidos.

O backdoor verifica a existência de seu arquivo de configuração em /private/etc/apdl.cf. Se não existir, ele o cria com valores embutidos em código. O arquivo de configuração é codificado em XOR de byte único com a chave 0x5e. As comunicações C2 são enviadas por meio de solicitações HTTP. Um ID de bot é gerado aleatoriamente com o PID do malware na execução inicial. O id é enviado com comunicações C2. Um breve relatório de pesquisa de host está incluído nas solicitações de beacon. O conteúdo da mensagem é criptografado com a cifra de fluxo A5 de acordo com os nomes das funções no binário.

Persistência

No Windows, o invasor usou o carregamento lateral de DLL para obter persistência para o malware TAXHAUL. O carregamento lateral da DLL acionou os sistemas infectados para executar o malware do invasor no contexto de binários legítimos do Microsoft Windows, reduzindo a probabilidade de detecção de malware. O mecanismo de persistência também garante que o malware invasor seja carregado na inicialização do sistema, permitindo que o invasor mantenha o acesso remoto ao sistema infectado pela Internet.

O malware foi nomeado C:\Windows\system32\wlbsctrl.dll para imitar o binário legítimo do Windows com o mesmo nome. A DLL foi carregada pelo serviço legítimo do Windows IKEEXT por meio do binário legítimo do Windows svchost.exe.