近日攻击 3CX 系统的疑是北韩作为

Mandiant 是SCX 公司雇佣来的，他们现在确定攻击者使用 TAXHAUL（又名“TxRLoader”）恶意软件感染了目标 3CX 系统。 在 Windows 系统上执行时，TAXHAUL 解密并执行位于目录 C:\Windows\System32\config\TxR\ 中名为 <machine hardware profile GUID>.TxR.0.regtrans-ms 的文件中的 shellcode。 攻击者可能会选择此文件名和位置来尝试融入标准 Windows 安装。 该恶意软件使用 Windows CryptUnprotectData API 通过每个受感染主机唯一的加密密钥解密 shellcode，这意味着数据只能在受感染的系统上解密。 攻击者做出此设计决策可能会增加安全研究人员和事件响应人员成功分析的成本和工作量。

在这种情况下，在解密并加载包含在文件 <机器硬件配置文件 GUID> 中的 shellcode 之后，TxR.0.regtrans-ms 是一个复杂的下载程序，Mandiant 将其命名为 COLDCAT。 然而，值得注意的是，该恶意软件与卡巴斯基报告中提到的 GOPURAM 不同。

以下 YARA 规则可用于寻找 TAXHAUL (TxRLoader)：

规则 TAXHAUL
{
元：
作者 = "Mandiant"
创建=“04/03/2023”
修改 = “04/03/2023”
版本 = “1.0”
字符串：
$p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
$p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
健康）状况：
uint16(0) == 0x5A4D 和其中任何一个
}

请注意，与任何 YARA 规则类似，在生产中使用之前，应首先在测试环境中对其进行适当评估。 这也无法保证误报率以及整个恶意软件系列和最终变体的覆盖范围。

Mandiant 还发现了一个 MacOS 后门，目前名为 SIMPLESEA，位于 /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f)。 Mandiant 仍在分析 SIMPLESEA 以确定它是否与另一个已知的恶意软件家族重叠。

用 C 编写的后门通过 HTTP 进行通信。 支持的后门命令包括shell命令执行、文件传输、文件执行、文件管理和配置更新。 它还可以负责测试提供的 IP 和端口号的连接性。

后门检查其配置文件是否存在于 /private/etc/apdl.cf。 如果它不存在，它会使用硬编码值创建它。 配置文件使用密钥 0x5e 进行单字节 XOR 编码。 C2 通信通过 HTTP 请求发送。 机器人 ID 是在初始执行时随机生成的，其中包含恶意软件的 PID。 该 ID 与 C2 通信一起发送。 信标请求中包含一份简短的主机调查报告。 消息内容根据二进制文件中的函数名使用 A5 流密码进行加密。

在 Windows 上，攻击者使用 DLL 侧加载来实现 TAXHAUL 恶意软件的持久性。 DLL 侧载触发受感染系统在合法 Microsoft Windows 二进制文件的上下文中执行攻击者的恶意软件，从而降低检测到恶意软件的可能性。 持久性机制还确保攻击者恶意软件在系统启动时加载，使攻击者能够通过 Internet 保留对受感染系统的远程访问。

该恶意软件被命名为 C:\Windows\system32\wlbsctrl.dll 以模仿同名的合法 Windows 二进制文件。 DLL 由合法的 Windows 服务 IKEEXT 通过合法的 Windows 二进制文件 svchost.exe 加载。