3CX arbeitet an einem Software-Update für seine 3CX-Desktopanwendung, nachdem mehrere Sicherheitsforscher das Unternehmen auf einen aktiven Angriff auf die Lieferkette aufmerksam gemacht hatten. Das Update wird in den nächsten Stunden veröffentlicht; In der Zwischenzeit fordert das Unternehmen seine Kunden dringend auf, seinen PWA-Client (Progressive Web App) zu verwenden.
„Wie viele von Ihnen vielleicht bemerkt haben, enthält die 3CX Desktop-Anwendung Malware. Dies betrifft den Windows Electron-Client für Kunden, die Update 7 ausführen“, sagte 3CX-CEO Nick Galea am Donnerstag in einer Sicherheitswarnung. Als sofortige Reaktion riet das Unternehmen den Benutzern, die App zu deinstallieren und neu zu installieren.
3CX ist ein Entwicklungsunternehmen für Voice over Internet Protocol (VoIP) PBX-Software. Mit der 3CX Desktop App können Benutzer über ihren Desktop Anrufe tätigen, chatten, Videokonferenzen abhalten und Voicemails abrufen. Das Unternehmen hat mehr als 600.000 Kunden und 12 Millionen Nutzer in 190 Ländern. Zu den Kunden zählen American Express, BMW, Honda, Ikea, Pepsi und Toyota.
Sicherheitsforscher von Sophos, Crowdstrike und SentinelOne machten das Unternehmen am Mittwoch auf den anhaltenden Angriff aufmerksam.
Die Lieferkette unter Beschuss
Die Forscher beobachteten bösartige Aktivitäten, die von einer Trojaner-Version der 3CX-Desktopanwendung ausgingen. „Die Software ist eine digital signierte Version des Softphone-Desktop-Clients für Windows und enthält eine bösartige Nutzlast“, sagte Sophos in seinem Blog.
Der Angreifer habe die App missbraucht, um einen Installer hinzuzufügen, der mit verschiedenen Command-and-Control-Servern kommuniziert, so Sophos.
Laut SentinelOne, das den Angriff als SmoothOperator verfolgt, registrierte der Bedrohungsakteur im Februar 2022 eine massive Angriffsinfrastruktur und fügte hinzu: „Wir sehen jedoch noch keine offensichtlichen Verbindungen zu bestehenden Bedrohungsgruppen.“
Die Forscher sagten, es handele sich um einen Kettenangriff, der in seiner ersten Phase die DLL-Seitenladetechnik nutzt, um eine bösartige DLL zu laden, die darauf ausgelegt ist, die Nutzdaten einer Symboldatei zu erhalten.
„Der Trojaner 3CXDesktopApp ist die erste Stufe einer mehrstufigen Angriffskette, die an Base64-Daten von GitHub angehängte ICO-Dateien extrahiert und letztendlich zu einer informationsstehlenden DLL der dritten Stufe führt, die im Moment der Redaktion noch analysiert wird.“ " Sagte SentinelOne.
In ähnlicher Weise stellte Crowdstrike fest, dass böswillige Aktivitäten das Markieren von akteurgesteuerter Infrastruktur, die Bereitstellung von Payloads der zweiten Stufe und in einer kleinen Anzahl von Fällen manuelle Tastaturaktivitäten umfassen.
Sophos weist darauf hin, dass das Sideloading der DLL so konzipiert ist, dass Benutzer bei der Verwendung der Anwendung keinen Unterschied bemerken.
Der Informationsdieb kann Systeminformationen und sensible Daten sammeln, die in den Browsern Google Chrome, Microsoft Edge, Brave und Mozilla Firefox gespeichert sind.
„PBX-Software ist ein attraktives Ziel für Supply-Chain-Akteure; Zusätzlich zur Überwachung der Kommunikation eines Unternehmens können Akteure die Anrufweiterleitung oder Voice Service Broker-Verbindungen von außen modifizieren“, sagte SentinelOne.
Infizierte Version von Windows
Während Versionen der App unter Windows, Linux, Android und MacOS funktionieren, sind sich das Unternehmen und die Sicherheitsforscher SentinelOne und Sophos einig, dass nur die Windows-Version infiziert wurde. Crowdstrike hingegen behauptet, dass auch die macOS-Version infiziert war.
CrowdStrike schreibt den Angriff auch dem nationalstaatlichen Bedrohungsakteur Labyrinth Chollima zu. Labyrinth Chollima ist ein produktiver nordkoreanischer Schauspieler, der als Untergruppe der Lazarus-Gruppe bekannt ist.
Copyright © 2023 IDG Communications, Inc.