{"id":279163,"date":"2023-03-30T02:25:02","date_gmt":"2023-03-30T00:25:02","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=279163"},"modified":"2023-08-16T00:46:11","modified_gmt":"2023-08-15T22:46:11","slug":"3cx-desktop-app-in-supply-chain-attack-infiziert-29-mrz-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/03\/30\/3cx-desktop-app-in-supply-chain-attack-infiziert-29-mrz-2023\/","title":{"rendered":"3CX Desktop-App in Supply-Chain-Attack infiziert (29. März 2023)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Warnung an Kunden des Telefonsystem-Anbieters 3CX. Dessen 3CX Desktop App ist wahrscheinlich durch einen Lieferkettenangriff (Supply-Chain-Attack) mit Malware infiziert worden. Das legen zumindest verschiedene Berichte von Sicherheitsfirmen sowie Posts bei reddit.com nahe. Hier ein \u00dcberblick, was ich bisher nach einem kurzen Leserhinweis (danke daf\u00fcr) herausgefunden habe.<\/p>\n

<\/p>\n

\"\"3CX<\/a> ist ein internationaler Entwickler von VoIP-IPBX-Software. Das 3CX-Telefonsystem, eine auf offenen Standards basierende, softwarebasierte Telefonanlage, war urspr\u00fcnglich nur unter Windows einsetzbar, kann aber seit 2016 auch unter Linux und auf Cloud-Plattformen eingesetzt werden. 3CX Desktop App ist eine Anwendung, mit dem am Desktop direkt mittels eines Headsets telefoniert werden kann. Die 3CXDesktopApp ist f\u00fcr Windows, macOS, Linux und Mobilger\u00e4te verf\u00fcgbar.<\/p>\n

Hinweis auf Kompromittierung<\/h2>\n

Ein Blog-Leser hat mich vor wenigen Stunden per Mail auf den reddit.com-Thread 3CX likely comprised, take action<\/a> aufmerksam gemacht. Es besteht der Verdacht, dass die Software – konkret deren 3CX Desktop App – kompromittiert sein k\u00f6nnte. Auf reddit.com gibt es den zweiten Thread \/\/ 2023-03-29 \/\/ SITUATIONAL AWARENESS \/\/ CrowdStrike Tracking Active Intrusion Campaign Targeting 3CX Customers \/\/<\/a> mit weiteren Informationen.<\/p>\n

Sicherheitsanbieter CrowdStrike<\/a> berichtet, dass deren Produkt Falcon OverWatch am 29. M\u00e4rz 2023 unerwartete b\u00f6sartige Aktivit\u00e4ten beobachtete, die von einer legitimen, signierten Bin\u00e4rdatei, 3CXDesktopApp – einer Softphone-Anwendung von 3CX – ausgingen. Die b\u00f6swilligen Aktivit\u00e4ten umfassen das Beaconing der von den Akteuren kontrollierten Infrastruktur, die Bereitstellung von Nutzlasten der zweiten Stufe und in einigen wenigen F\u00e4llen auch Aktivit\u00e4ten \u00fcber die Tastatur.<\/p>\n

Die Funktionen Falcon Prevent und Insight verf\u00fcgen \u00fcber verhaltensbasierte Pr\u00e4ventionsma\u00dfnahmen und atomare Erkennungen, die auf den Missbrauch von 3CXDesktopApp abzielen. OverWatch hat Kunden benachrichtigt, bei denen Hands-on-Keyboard-Aktivit\u00e4ten beobachtet wurden, und Falcon Complete steht in Kontakt mit Kunden, bei denen die 3CXDesktopApp vorhanden ist.<\/p>\n

Die 3CXDesktopApp ist f\u00fcr Windows, macOS, Linux und Mobilger\u00e4te verf\u00fcgbar. Zum Zeitpunkt der Erstellung dieses Berichts wurden Aktivit\u00e4ten sowohl unter Windows als auch unter macOS beobachtet. Das Intelligence-Team von CrowdStrike steht in Kontakt mit 3CX. Es besteht der Verdacht, dass der Bedrohungsakteur LABYRINTH CHOLLIMA auf nationaler Ebene aktiv ist.<\/p>\n

Das Ganze scheint sich dynamisch zu entwickeln. CrowdStrike will weitere Informationen bei Verf\u00fcgbarkeit im reddit.com-Thread 3CX likely comprised, take action<\/a> ver\u00f6ffentlichen. Aktuell k\u00f6nnen CrowdStrike-Kunden dort bereits Hinweise finden, wie sie sich verhalten sollen und welche Abwehrma\u00dfnahmen es gibt. Inzwischen hat CrowdStrike auch einen Blog-Beitrag CrowdStrike Falcon Platform Detects and Prevents Active Intrusion Campaign Targeting 3CXDesktopApp Customers<\/a> zum Thema ver\u00f6ffentlicht.<\/p>\n

ThreadLocker nennt Details<\/h2>\n

Der Sicherheitsanbieter ThreatLocker hat ebenfalls Berichte \u00fcber eine m\u00f6gliche Gef\u00e4hrdung der 3CX-Desktop-Anwendung erhalten. Der Sicherheitsanbieter hat darauf hin zum 29. M\u00e4rz 2023 den Blog-Beitrag Unconfirmed 3CX Desktop App Compromise<\/a> ver\u00f6ffentlicht, in dem sich noch weitere Angaben finden.Laut diesem Sicherheitsanbieter wurden alle ausf\u00fchrbaren Dateien der potenziell gef\u00e4hrdeten Versionen 18.12.416 und 18.12.407 der 3CX-Desktop-App in der eigenen Sicherheitssoftware zur Ausf\u00fchrung blockiert. Der Anbieter empfiehlt, den Zugang zum Lesen und Schreiben von Dateien und den Zugang zum Internet in der App zu sperren.<\/p>\n

<\/p>\n

Auch weitere Sicherheitsanbieter wie SentinelOne scheinen die kompromittierten Apps bereits seit Anfang der Woche (27\u00b4\/28.3.2023) von den Systemen zu l\u00f6schen (siehe obigen Screenshot). Das Ganze scheint bereits seit letzter Woche beobachtet worden zu sein.<\/p>\n

Erg\u00e4nzungen: <\/strong>Auf der 3CX-Webseite habe ich noch keine offizielle Mitteilung gefunden und die kompromittierte App soll beim Schreiben des Beitrags hier noch downloadbar gewesen sein. Im 3CX-Forum gibt es aber diesen Thread<\/a> (u.a. mit diesen Beitrag<\/a>) zum Thema. Die Kollegen von Bleeping Computer haben in diesem Beitrag<\/a> noch einige Hinweise zusammen getragen.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Tobias\u00a0Thiel\u00a0hat auf LinkedIn noch eine kurze Zusammenfassung<\/a> ver\u00f6ffentlicht, \u00fcber die er mich heute fr\u00fch informierte (danke daf\u00fcr).<\/p>\n

Weitere Insights<\/h2>\n

Erg\u00e4nzung 3:<\/strong> Tobias Thiel hat mich per Mail noch auf ein das Removal-Script f\u00fcr die 3CX-Desktop App hingewiesen, das sich auf PasteBin herunterladen<\/a> l\u00e4sst. Tobias weist dann noch auf folgende Empfehlung zum serverseitigen Entfernen des Auto-Updates hin:<\/p>\n

Prevent the spread of the malicious version by deleting the current 3CX installer on the server-side<\/p>\n

\/var\/lib\/3cxpbx\/Instance1\/Data\/Http\/electron\/windows\/<\/p>\n

and make it impossible to redownload (block in your firewall or simply point the 3CX download servers to a wrong IP in your \/etc\/hosts.<\/p><\/blockquote>\n

Wird dies nicht 3CX ber\u00fccksichtigt, zieht sich die Desktop-Anwendung serverseitig zyklisch die infizierte Version wieder und verteilt diese ggf. Auf Twitter hat Thomas Roccia in nachfolgendem Tweet<\/a> noch eine Grafik zum Ablauf der 3CX-Angriffe gepostet.<\/p>\n

\"3CX<\/a>
\nZur Anzeige auf Twitter anklicken<\/p>\n

Vom Sicherheitsanbieter Sophos gibt es inzwischen eine Analyse in Form des Blog-Beitrags\u00a0Updated: 3CX users under DLL-sideloading attack: What you need to know<\/a>, in der die Interna der Infektion offen gelegt werden. Per DLL-Sideloading wird ein ausgekl\u00fcgelter Angriff gefahren. Involviert sind folgende Komponenten:<\/p>\n