Mandiant: hackers Noord- Korea voerden supply chain aanval uit op 3CX
Op basis van het Mandiant-onderzoek naar de 3CX-inbraak en supply chain-aanval tot nu toe, schrijven ze de activiteit toe aan een cluster met de naam UNC4736. Mandiant beoordeelt met groot vertrouwen dat de aanval vanuit Noord-Korea heeft plaatsgevonden.
3CX is een veelgebruikte en uitgebreide VoIP-softwareoplossing voor bedrijven, die bijvoorbeeld wordt gebruikt door onder andere telefooncentrales.
Mandiant heeft vastgesteld dat de aanvaller gerichte 3CX-systemen heeft geïnfecteerd met TAXHAUL- malware (AKA "TxRLoader"). Wanneer TAXHAUL wordt uitgevoerd op Windows -systemen, wordt de shellcode gedecodeerd en uitgevoerd die zich bevindt in een bestand met de naam <machine hardware profile GUID>.TxR.0.regtrans-ms in de map C:\Windows\System32\config\TxR\.
De aanvaller heeft deze bestandsnaam en -locatie waarschijnlijk gekozen om te proberen op te gaan in standaard Windows-installaties. De malware gebruikt de Windows CryptUnprotectData API om de shellcode te decoderen met een cryptografische sleutel die uniek is voor elke gecompromitteerde host, wat betekent dat de gegevens alleen op het geïnfecteerde systeem kunnen worden gedecodeerd. De aanvaller heeft deze ontwerpbeslissing waarschijnlijk genomen om de kosten en inspanning van een succesvolle analyse door beveiligingsonderzoekers en incidentbestrijders te verhogen.
Dutch IT events
Alle events
