Bei einem laufenden Angriff auf die Lieferkette, bei dem 3CX gehackt wurde, wird angeblich eine digital signierte und trojanisierte Variante des 3CX Voice Over Internet Protocol (VOIP)-Desktop-Clients verwendet, um die Kunden des Unternehmens anzugreifen.
Das 3CX-Telefonsystem wird von mehr als 600.000 Unternehmen weltweit genutzt und hat täglich über 12 Millionen Benutzer. 3CX ist ein Unternehmen für die Entwicklung von VoIP-IPBX-Software.
Zahlreiche bekannte Unternehmen und Institutionen, darunter American Express, Coca-Cola, McDonald’s, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA und der britische National Health Service, gehören zu den Kunden des Unternehmens (das eine Warnung veröffentlichte am Donnerstag).
Sicherheitsforscher von Sophos und CrowdStrike haben berichtet, dass die Angreifer ihre Angriffe auf Benutzer von 3CX-Softphone-Software richten, die Windows und macOS ausführen.
„Die böswilligen Aktivitäten umfassen das Beaconing auf eine von Akteuren kontrollierte Infrastruktur, den Einsatz von Payloads der zweiten Stufe und in einer kleinen Anzahl von Fällen praktische Tastaturaktivitäten“, sagte das Bedrohungs-Intelligence-Team von CrowdStrike.
„Die bisher am häufigsten beobachtete Post-Exploitation-Aktivität ist das Spawnen einer interaktiven Befehlsshell“, warnte auch der Managed Detection and Response Service von Sophos.
Während Sophos-Experten behaupten, dass sie „diese Zuschreibung nicht mit hoher Sicherheit bestätigen können“, glaubt CrowdStrike, dass der Angriff von der Hacking-Organisation Labyrinth Collima durchgeführt wurde, die von der nordkoreanischen Regierung unterstützt wird. Die Behauptung von CrowdStrike beunruhigt viele 3CX-Benutzer, obwohl sie noch nicht bestätigt wurde. In letzter Zeit haben solche besorgniserregenden Hacking-Nachrichten einen Funken gesehen: Linus Tech Tips auf YouTube gehackt
Das Verhalten von Labyrinth Collima überschneidet sich bekanntermaßen mit dem anderer Bedrohungsakteure wie Lazarus Group von Kaspersky, Covellite von Dragos, UNC4034 von Mandiant, Zinc von Microsoft und Nickel Academy von Secureworks.
Wie wurde 3CX bei einem Lieferkettenangriff gehackt?
In Berichten, die am vergangenen Donnerstagabend veröffentlicht wurden, gaben SentinelOne und Sophos außerdem bekannt, dass das trojanisierte Desktop-Programm 3CX im Rahmen eines Angriffs auf die Lieferkette heruntergeladen wird.
SentinelOne hat diesen Angriff auf die Lieferkette „SmoothOperator“ genannt. Sie beginnt, wenn das MSI-Installationsprogramm von der 3CX-Website heruntergeladen oder ein Update für eine bereits eingerichtete Desktop-Anwendung herausgegeben wird.
Die schädlichen DLL-Dateien ffmpeg.dll [VirusTotal] und d3dcompiler 47.dll [VirusTotal] werden extrahiert, wenn das MSI oder Update installiert wird, und werden verwendet, um die nächste Phase des Angriffs auszuführen.
Obwohl die bösartige ffmpeg.dll-DLL seitlich geladen und zum Extrahieren und Entschlüsseln einer verschlüsselten Nutzlast aus d3dcompiler 47.dll verwendet wird, versichert Sophos, dass die ausführbare 3CXDesktopApp.exe-Datei nicht bösartig ist.
Um auf GitHub gespeicherte Symboldateien herunterzuladen, die Base64-codierten Text enthalten, der an das Ende der Bilder angehängt ist, wird dieser verschlüsselte Shellcode von d3dcompiler 47.dll ausgeführt.
Diese Symbole werden in einem GitHub-Repository aufbewahrt, was darauf hinweist, dass das erste Symbol am 7. Dezember 2022 veröffentlicht wurde.
Laut SentinelOne verwendet die Malware diese Base64-Zeichenfolgen, um eine endgültige Nutzlast – eine unbekannte DLL – herunterzuladen, die Informationen von den infizierten Geräten stiehlt.
Die Benutzerprofile für Chrome, Edge, Brave und Firefox können Daten und Zugangsdaten enthalten, die diese neue Malware stehlen kann, sowie Systeminformationen.
„Zum jetzigen Zeitpunkt können wir nicht bestätigen, dass das Mac-Installationsprogramm ähnlich trojanisiert ist. Unsere laufende Untersuchung umfasst zusätzliche Anwendungen wie die Chrome-Erweiterung, die ebenfalls zum Inszenieren von Angriffen verwendet werden könnten“, sagte SentinelOne
Unterdessen erklärte der 3CX-CEO Nick Galea am Donnerstagmorgen in einem Forenbeitrag, dass Malware in das 3CX-Desktop-Programm eingeschleust worden sei. Galea rät allen Nutzern, die Desktop-Anwendung zu deinstallieren und in der Folge auf den PWA-Client umzusteigen.
„Wie viele von Ihnen bemerkt haben, enthält die 3CX DesktopApp Malware. Es betrifft den Windows Electron-Client für Kunden, die Update 7 ausführen. Es wurde uns gestern Abend gemeldet und wir arbeiten an einem Update für die DesktopApp, das wir in den kommenden Stunden veröffentlichen werden.“ Galea in den 3CX-Foren geteilt.
Source: 3CX wurde bei einem Supply-Chain-Angriff gehackt, der 12 Millionen Benutzer gefährdete
