3CX ha pubblicato un aggiornamento sul blog ufficiale per fornire i dettagli dell’attacco supply chain di fine marzo. In base ai risultati iniziali dell’indagine effettuata da Mandiant, i responsabili appartengono al gruppo UNC4736 di origine nordcoreana. Su Windows vengono installati i malware Taxhaul e Coldcat. Kaspersky aveva invece individuato la backdoor Gopuram.
I risultati dell’indagine
Secondo Mandiant, i cybercriminali hanno infettato i sistemi 3CX con Taxhaul (alias TxRLoader). Quando viene eseguito su Windows, il malware decodifica ed esegue lo shellcode situato nel file
copiato nella directory C:\Windows\System32\config\TxR\
. Successivamente viene scaricato il downloader Coldcat.
Per ottenere la persistenza è stata utilizzata la nota tecnica DLL side-loading. Il malware è infatti nascosto nel file wlbsctrl.dll
copiato nella directory C:\Windows\system32\
. La DLL è una versione infetta di quella legittima che viene caricata in memoria dal servizio IKEEXT attraverso svchost.exe
.
Un simile attacco supply chain è stato effettuato anche contro i sistemi macOS. In questo caso, Mandiant ha scoperto la backdoor Simplesea nella directory /Library/Graphics/Quartz
. Esegue diverse attività specificate nel suo file di configurazione, tra cui l’esecuzione di comandi di shell, il trasferimento di file, l’esecuzione di altri malware.
Mandiant ha individuato quattro domini usati per l’invio dei comandi remoti. Non è stato ancora chiarito il “punto di ingresso”, ma probabilmente è stato compromesso l’ambiente di sviluppo. Gli installer MSI infetti erano presenti sul sito ufficiale. Secondo diversi ricercatori di sicurezza, i cybercriminali hanno sfruttato una vecchia vulnerabilità di Windows. 3CX consiglia di usare la versione PWA (Progressive Web Application) del client VoIP, invece del client desktop basato su Electron.