3CX-Desktop-App kompromittiert und in Supply-Chain-Angriff missbraucht

Eine Supply-Chain-Attacke durch eine advanced persistent threat group hat die Unified Communications-Vendor 3CX betroffen. 3CX bestätigte, dass seine Desktop-App von einem Dritten beeinträchtigt wurde. Kunden hatten festgestellt, dass mehrere Bedrohungserkennungs-Plattformen die Desktop-App von 3CX letzte Woche wegen bösartiger Aktivitäten im ausführbaren File flaggten und blockierten.

Am Donnerstagmorgen veröffentlichte 3CX einen Sicherheits-Hinweis von CISO Pierre Jourdan, der Kunden darauf hinwies, dass mehrere Versionen seiner Electron-Windows-App ein „Sicherheitsproblem“ aufweisen. Die betroffenen Versionen umfassen Electron Windows App 18.12.407 und 18.12.416 von Update 7 sowie Electron Mac App-Versionen 18.11.1213, 18.12.402, 18.12.407 und 18.12.416.

Laut dem Hinweis wurde 3CXs Entwicklungs-Umgebung nicht direkt gehackt. Stattdessen fügte das Unternehmen eine Software-Bibliothek eines Dritten hinzu, die angeblich kompromittiert war. „Das Problem scheint eine der gebündelten Bibliotheken zu sein, die wir in die Windows Electron App über GIT kompiliert haben. Wir forschen immer noch über die Angelegenheit, um später eine detailliertere Antwort geben zu können“, sagte Jourdan.

3CX hat laut eigenen Angaben mehr als 600.000 Kunden weltweit und 12 Millionen Nutzer. Das Unternehmen hat seinen Sitz in Europa.

Probleme mit der Software von 3CX traten erstmals am Mittwoch auf, als CrowdStrike bösartige Aktivitäten bei 3CXDesktopApp.exe, der signierten ausführbaren Datei der Softphone-Anwendung des Anbieters, meldete. „Die bösartige Aktivität umfasst das Senden von Signalen an von den Hackern kontrollierte Infrastrukturen, Bereitstellung von Payloads der zweiten Stufe und in einigen wenigen Fällen mannipulative Tastatureingabe“, schrieb CrowdStrike in einem Blog-Post. Die Kampagne wurde mit der nordkoreanischen staatlich unterstützten Hacking-Gruppe Labyrinth Chollima in Verbindung gebracht, auch bekannt als Lazarus Group oder APT 38.

CrowdStrike sagte, dass seine Bedrohungserkennungs-Plattform die bösartigen Aktivitäten in der 3CXDesktopApp identifiziert und blockiert hat, und dass die Forscher 3CX kontaktiert haben. Am Mittwochabend veröffentlichte auch SentinelOne Forschungsergebnisse zu den Supply-Chain-Angriffen und zeigte auf, dass es seit dem 22. März zu einem Anstieg der Verhaltenserkennungen von 3CXDesktopApp.exe gekommen war. SentinelOnes Plattform erkannte und blockte den Trojaner-Code ungefähr eine Woche lang.

Während dieser Zeit bemerkten einige 3CX-Kunden, dass SentinelOne ihre 3CX-Desktop-Apps aufgrund verdächtiger Aktivitäten gekennzeichnet und deinstalliert hatte, und äußerten Bedenken im Benutzerforum von 3CX. Allerdings schienen Foren-Moderatoren das Problem als Fehler von SentinelOne abzutun und empfahlen den Kunden, den Endpunkt-Sicherheitsanbieter zu kontaktieren, um das Problem zu lösen.

Es ist unklar, ob das Sicherheitsteam von 3CX diesen Berichten vor der Veröffentlichung des Blog-Posts von CrowdStrike am Mittwochmorgen nachgegangen war. 3CX antwortete bis zum Redaktionsschluss nicht auf die Anfragen.

Unterdessen haben auch andere Bedrohungserkennungs- und Anti-Malware-Plattformen, wie Sophos und ESET, die 3CX-Desktop-App wegen potenziell bösartiger Aktivitäten markiert.

Laut SentinelOne ist die Troianisierte 3CX-Desktop-App der erste Teil einer mehrstufigen Angriffskette, die sowohl Windows- als auch Mac-Nutzer zielt. Sobald sie installiert ist, zieht die Desktop-App b

In Other News Around the World:

Von Roxane Gay

Roxane Gay ist eine herausragende Schriftstellerin und Kulturkritikerin, die in ihren Werken Fragen von Rasse, Geschlecht und Sexualität untersucht. Ihr bestverkauftes Memoir "Hunger" ist ein mächtiger Bericht über ihre Erfahrungen mit Trauma, Körperbild und Identität.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert