Zurzeit sorgt eine trojanisierte Version der beliebten VOIP\/PBX-Software 3CX f\u00fcr Schlagzeilen. Das Gesch\u00e4ftstelefonsystem wird weltweit von Unternehmen in 190 L\u00e4ndern genutzt. Bei der Attacke scheint es scheint sich um einen Supply-Chain-Angriff gehandelt zu haben, bei dem Angreifer ein Installationsprogramm f\u00fcr die Desktop-Anwendung hinzuf\u00fcgen konnten, das letztendlich eine b\u00f6sartige, verschl\u00fcsselte Nutzlast per DLL seitenweise l\u00e4dt.<\/p>\n
Mat Gangwer, VP Managed Threat Response bei Sophos zur aktuellen Situation: \u201eDen Angreifern ist es gelungen, die Anwendung zu manipulieren, um ein Installationsprogramm hinzuzuf\u00fcgen, das DLL-Sideloading verwendet. Durch diese Hintert\u00fcr wird schlie\u00dflich eine sch\u00e4dliche, verschl\u00fcsselte Nutzlast abgerufen. Diese Taktik ist nicht neu, sie \u00e4hnelt der DLL-Sideloading-Aktivit\u00e4t, die bereits bei anderen Attacken zum Einsatz kam. Wir haben drei der entscheidenden Komponenten dieses DLL-Sideloading-Szenarios identifiziert.\u201c<\/p>\n
Die betroffene Software 3CX ist ein legitimes, softwarebasiertes PBX-Telefonsystem, das unter Windows, Linux, Android und iOS verf\u00fcgbar ist. Zurzeit scheinen nur Windows-Systeme von dem Angriff betroffen zu sein. Die Anwendung wurde von den Angreifern missbraucht, um ein Installationsprogramm hinzuzuf\u00fcgen, das mit verschiedenen Command-and-Control-Servern (C2) kommuniziert. Bei der aktuellen Attacke handelt es sich um eine digital signierte Version des Softphone-Desktop-Clients f\u00fcr Windows, die einen b\u00f6sartigen Payload enth\u00e4lt. Die bisher am h\u00e4ufigsten beobachtete Aktivit\u00e4t nach Ausnutzung der Sicherheitsl\u00fccke ist das Aktivieren einer interaktiven Befehlszeilenoberfl\u00e4che (Command Shell).<\/p>\n
Sophos MDR identifizierte am 29. M\u00e4rz 2023 erstmals b\u00f6swillige Aktivit\u00e4ten, die sich gegen seine eigenen Kunden richteten und von 3CXDesktopApp stammten. Dar\u00fcber hinaus hat Sophos MDR festgestellt, dass bei der Attacke ein \u00f6ffentlicher Dateispeicher zum Hosten verschl\u00fcsselter Malware genutzt wurde. Dieses Repository wird seit dem 8. Dezember 2022 verwendet.\u00a0\u201eDer Angriff selbst basiert auf einem DLL-Sideloading-Szenario mit einer bemerkenswerten Anzahl beteiligter Komponenten\u201c, so Matt Gangwer. \u201eDies sollte wahrscheinlich sicherstellen, dass Kunden das 3CX-Desktop-Paket verwenden konnten, ohne etwas Ungew\u00f6hnliches zu bemerken.\u201c<\/p>\n
Bis dato hat Sophos folgende, entscheidende Komponenten des Angriffs identifiziert:<\/p>\n
Die Datei ffmpeg.dll enth\u00e4lt eine eingebettete URL, die einen b\u00f6sartig kodierten ICO-Payload abruft. In einem normalen DLL-Sideloading-Szenario w\u00fcrde der b\u00f6sartige Loader (ffmpeg.dll) die legitime Anwendung ersetzen; seine einzige Funktion w\u00e4re es, die Nutzlast in eine Warteschlange zu stellen. In diesem Fall ist der Loader jedoch vollst\u00e4ndig funktionsf\u00e4hig, wie es normalerweise im 3CX-Produkt der Fall w\u00e4re \u2013 als Ersatz wird eine zus\u00e4tzliche Nutzlast in die DllMain-Funktion eingef\u00fcgt. Dies erh\u00f6ht zwar die Paketgr\u00f6\u00dfe, hat aber m\u00f6glicherweise bei Anwendern den Verdacht verringert, dass etwas nicht stimmt, da die 3CX-Anwendung funktioniert wie erwartet \u2013 selbst w\u00e4hrend der Trojaner das C2-Beacon adressiert.<\/p>\n
SophosLabs hat die sch\u00e4dlichen Dom\u00e4nen blockiert und die folgende Endpoint-Erkennung ver\u00f6ffentlicht: Troj\/Loader-AF. Zus\u00e4tzlich wurde die Liste bekannter C2-Domains blockiert, die mit der Bedrohung in Verbindung gebracht werden. Diese wird in der IOC-Datei auf dem Sophos GitHub weiter erg\u00e4nzt. Last but not least wird die b\u00f6sartige Datei ffmpeg.dll als von geringer Reputation gekennzeichnet.<\/p>\n","protected":false},"excerpt":{"rendered":"
Zurzeit sorgt eine trojanisierte Version der beliebten VOIP\/PBX-Software 3CX f\u00fcr Schlagzeilen. Das Gesch\u00e4ftstelefonsystem wird weltweit von Unternehmen in 190 L\u00e4ndern genutzt. Bei der Attacke scheint es scheint sich um einen Supply-Chain-Angriff gehandelt zu haben, bei dem Angreifer ein Installationsprogramm f\u00fcr die Desktop-Anwendung hinzuf\u00fcgen konnten, das letztendlich eine b\u00f6sartige, verschl\u00fcsselte Nutzlast per DLL seitenweise l\u00e4dt. Mat […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11],"tags":[],"class_list":["post-604","post","type-post","status-publish","format-standard","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/604","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=604"}],"version-history":[{"count":0,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/604\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=604"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=604"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=604"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}