Security-Experten warnen vor kompromittierter VoIP-Software
3CX für Supply-Chain-Angriff genutzt
Fachleute mehrerer Security-Anbieter warnen vor einem Missbrauch der VoIP-Software 3CX: Sie werde weltweit für einen Supply-Chain-Angriff genutzt. Angreifer installieren eine Backdoor und laden Schadcode nach.
3CX ist ein softwarebasiertes Telefonsystem, das unter Windows, Linux, Android und iOS verfügbar ist. Angreifer haben laut den Fachleuten die Anwendung missbraucht, um ein Installationsprogramm hinzuzufügen, das mit verschiedenen Command-and-Control-Servern kommuniziert.
„Den Angreifern ist es gelungen, die Anwendung zu manipulieren, um ein Installationsprogramm hinzuzufügen, das DLL-Sideloading verwendet“, erläutert Mat Gangwer, VP Managed Threat Response bei Sophos. Durch diese Hintertür werde eine schädliche, verschlüsselte Nutzlast nachgeladen. Bei der aktuellen Attacke handle es sich um eine digital signierte Version des Softphone-Desktop-Clients für Windows, die eine bösartige Payload enthält. Die Angreiferseite nutzt die Lücke laut Sophos am häufigsten, um die Command Shell (Befehlszeilenoberfläche) zu aktivieren.
Betroffen sind laut dem deutschen Security-Anbieter G Data die Windows-Versionen von 3CX-Desktop-App 18.12.407 und 18.12.416 oder der Version 18.11.1213 und der neuesten Version auf Macs. Mehr als 600.000 Unternehmen mit über zwölf Millionen Anwendern haben laut G-Data-Angaben die Software täglich im Einsatz. Zu den Kunden des Unternehmens gehören Firmen wie Coca-Cola, McDonald's, BMW, Mercedes-Benz oder Ikea. Ist der Schadcode im System, installiert das kompromittierte System laut G Data eine Hintertür und lädt weitere Malware nach. Auch den Einsatz eines Infostealers habe man beobachtet. Der Stealer sammle Systeminformationen sowie Daten und kopiere Anmeldeinformationen von verschiedenen Web-Browsern.
„Der Angriff selbst basiert auf einem DLL-Sideloading-Szenario mit einer bemerkenswerten Anzahl beteiligter Komponenten“, sagt Matt Gangwer. „Dies sollte wahrscheinlich sicherstellen, dass Kunden das 3CX-Desktop-Paket verwenden konnten, ohne etwas Ungewöhnliches zu bemerken.“ Bis dato hat Sophos folgende Komponenten des Angriffs identifiziert:
3CXDesktopApp.exe als Clean-Loader, d3dcompiler_47.dll (eine DLL mit einer angehängten verschlüsselten Nutzlast) und ffmpeg.dll, den trojanisierten bösartigen Loader.
CrowdStrike schreibt den Angriff einer Gruppe namens Labyrinth Collima zu, die laut dem US-Security-Anbieter dem nordkoreanischen Regime nahesteht.
„Dies ist ein klassischer Angriff auf die Lieferkette, der darauf abzielt, Vertrauensbeziehungen zwischen einem Unternehmen und externen Parteien auszunutzen, einschließlich Partnerschaften mit Anbietern oder der Verwendung von Software von Drittanbietern, auf die die meisten Unternehmen in irgendeiner Weise angewiesen sind“, kommentierte Lotem Finkelstein, Director of Threat Intelligence & Research bei Check Point. „Dieser Vorfall erinnert uns daran, wie wichtig es ist, dass wir unsere Geschäftspartner genau unter die Lupe nehmen.“
Lesen Sie mehr zum Thema
