[ziesell]

Zitat:

BSI: Alarmstufe Orange wegen Trojaner in 3CX-Softphone-App

Die weitverbreitete Telefonie-Software von 3CX enthielt den Schadcode der nordkoreanischen Lazarus-Hacker. Auch die Mac-Version war infiziert.



Weltweit rund 600.000 Kunden und 12 Millionen tägliche Nutzer – mit 3CX hat es einen weiteren, zentralen IT-Lieferanten erwischt: Die digital signierte Softphone-App direkt vom Hersteller enthielt Schadcode, der unter anderem einen sogenannten Infostealer aus dem Internet nachlud. Das BSI erhöht deshalb in seiner Warnung die IT-Bedrohungslage auf "3 / Orange". Das steht für: "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs."

Wie gestern bereits berichtet, gelang es der vermutlich aus Nordkorea gesteuerten Hackergruppe Lazarus, die Software von 3CX mit einem Downloader zu präparieren, der weitere Schad-Software nachlud. Mittlerweile ist bekannt, dass nicht nur die Windows-Versionen 18.12.407 und 18.12.416, sondern auch die MacOS-Version des 3CX Softphone betroffen sind. Wie der Hersteller bestätigt, sind die Mac-Electron-Apps mit den Versionsnummern 18.11.1213, 18.12.402, 18.12.407 & 18.12.416 infiziert.

Wer die infizierten Apps in Betrieb hatte, sollte die betroffenen Systeme unverzüglich von allen Netzen trennen und sich auf die Suche nach möglichen Hinterlassenschaften machen. Der nachgeladene Infostealer liest laut Sentinel unter anderem Informationen aus den Browsern Chrome, Edge, Brave und Firefox aus. Es besteht die Gefahr, dass die Einbrecher diese Informationen nutzten, um weitere Systeme zu kapern. Bei der Suche helfen die am Ende aufgeführten Indicators of Compromise (IoCs), deren Vorhandensein im Netz eine akute Kompromittierung bedeutet. In einem solchen Fall sollte man unbedingt professionelle Hilfe zur Incident Response hinzuziehen.

Update
31.03.2023 17:40 Uhr

Am einfachsten gestaltet sich die Suche nach unliebsamen Hinterlassenschaften mit Desinfec't. Das enthält den Scanner Thor Lite, der mit den aktuellen Signaturen nicht nur die trojansierten 3CX-Dateien erkennt, sondern auch die nachgeladenen Hinterlassenschaften wie den Infostealer.

3CX wiegelt ab

Die Firma 3CX betont in ihrem "Security Alert", dass die Mehrzahl der kontaktierten Domains bereits stillgelegt wurde. Die überwiegende Mehrzahl der betroffenen Systeme sei – obwohl die trojanisierten Dateien vorhanden waren – "tatsächlich nie infiziert worden", heißt es dort sogar beschwichtigend.

Das ist schon eine sehr gewagte These. Überhaupt macht 3CX in dieser Angelegenheit keine gute Figur. Bereits vor einer Woche ab dem 22. März meldeten mehrere Kunden in deren Foren Alarme von Antiviren-Software beim Einsatz von 3CX-Software, ohne dass es eine Reaktion gab. Noch am Mittwoch, den 29. beschwerten sich Kunden über ausbleibende Rückmeldungen des Herstellers. Erst als ab dem 30. März Crowdstrike und SentinelOne Alarm schlugen, kam Bewegung in die Sache.

Dazu passt eine Diskussion im Forum von heise Security Pro (nur für Mitglieder), in der Sicherheitsverantwortliche die Tatsache diskutieren, dass 3CX Passwörter immer noch im Klartext speichert. Das ist seit über einem Jahr bekannt und entspricht definitiv nicht dem von der DSGVO geforderten Stand der Technik. Doch 3CX hat daran seither offenbar nichts geändert. Firmen, die diese Software trotzdem einsetzen, riskieren heftige Bußgelder, erklärt Heise-Justiziar Jörg Heidrich den Forenmitgliedern.
Indicators of Compromise

Kontaktierte Domains:

akamaicontainer[.]com
akamaitechcloudservices[.]com
azuredeploystore[.]com
azureonlinecloud[.]com
azureonlinestorage[.]com
dunamistrd[.]com
glcloudservice[.]com
journalide[.]org
msedgepackageinfo[.]com
msstorageazure[.]com
msstorageboxes[.]com
officeaddons[.]com
officestoragebox[.]com
pbxcloudeservices[.]com
pbxphonenetwork[.]com
pbxsources[.]com
qwepoi123098[.]com
sbmsa[.]wiki
sourceslabs[.]com
visualstudiofactory[.]com
zacharryblogs[.]com
github[.]com/IconStorages/images

SHA-1-Hashes bösartiger Files:

20d554a80d759c50d6537dd7097fed84dd258b3e | d3dcompiler_47_v10.0.20348.1.dll
bf939c9c261d27ee7bb92325cc588624fca75429 | ffmpeg.dll
cad1120d91b812acafef7175f949dd1b09c6c21a | Infostealer

Weitere IOCs stellt etwa Volexity auf GitHub bereit.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[gerhardal]

What shalls....

Hatte noch nie ein privates Smartphone und brauche auch keins ....

[Thorasan]

Tatsächlich war 3cx sehr viel früher ein wirklicher Anwärter für den BigPlayer-Award im Bereich VoIP. Leider haben sie sich selbst geschadet, und das auf vielen Wegen.
Finde es nicht unbedingt verwunderlich, dass es nun gerade sie trifft.

[Melvin van Horne]

Moin,

Zitat:

Zitat von gerhardal

Hatte noch nie ein privates Smartphone

Softphone ist nicht Smartphone. Man hat, entweder in der Cloud oder vor Ort, eine Telefonanlage für VoIP. Als Zusatz bekommt man ein Softphone. Das ist eine Software, mit der man mit dem PC telefonieren, Telefon und Videokonferenzen starten und verwenden kann. Man kann damit Telefonnummern mit dem PC, zum Beispiel vom Bildschirm, wählen und dann das Gespräch mit dem normalen Telefon oder einem Headset führen und einiger mehr.

Diese Software aktualisiert sich mehr oder weniger im Hintergrund. In einer dieser Aktualisierungen saß der Schädling.

Mit dem Mist prügele ich mich nun seit Freitag früh rum. Unser Virenscanner hat sofort angeschlagen und alle der genannten Dateien in Quarantäne geschickt. Ein gründlicher Scan mit dem Virenscanner brachte keine weiteren Treffer. Ob wir trotzdem alle betroffenen Rechner ausser Betrieb nehmen und neu installieren sollen wurde gestern heiß diskutiert.

[csesraven]

Kommt auf die Menge an würde ich sagen. Und ob man nicht noch ein Tool drüber laufen lässt bzw. ne Custom Abfrage.

Auf jeden Fall jedes Log Level hoch drehen

[Thorasan]

@melvin
Ich denke, Rechner bekommst du halbwegs gut und einfach sauber. Interessanter wird es wohl bei vorprovosionierten Telefonen. Fraglich, ob die betroffen sind und falls ja, ob man die sauber bekommt.
Auch , ob es nur bei den Softphones bleibt oder das noch auf ganz andere Ebenen übergeht..

[Melvin van Horne]

Moin,

das ist bei uns immer wieder die Diskussion. Jedes Mal, wenn ein Virenscanner etwas gefunden hat, kommt die Frage auf, ob man nicht sicherheitshalber alles neu installieren sollte.

Ich frage mich dann nur, warum man Geld für Virenscanner ausgibt. Wenn wir ohnehin alles neu installieren, reicht ein kostenloses Tool, dass den Befall nur feststellen kann voll aus.
Mir konnte noch keiner schlüssig erklären, warum wir dann nicht auch alles neu installieren, wenn etwas an der Firewall abprallt Und das ist mehrmals täglich der Fall.

Ich fürchte mich nicht vor den Sachen, die von den Sicherheitssystemen erkannt werden. Die die nicht erkannt werden sind das Problem. Da gilt für mich der Spruch, de ich auf einer Schulung gehört habe.

Sie müssen sich eins immer vergegenwärtigen. Wenn ihnen der Arzt sagt: "Sie haben keinen Krebs". Dann heißt das in Wirklichkeit: "Ich habe bei ihnen keinen Krebs gefunden. Dieser kleine Unterschied kann eine Katastrophe bedeuten.

Zum Glück fallen nicht allzu viele Rechner die die 3CX Software haben in meine Zuständigkeit. Wir haben natürlich Boot von CD oder USB unterbunden. Das ist beim Einsatz eines Livescanners ziemlicher Sackgang.

Was solls. Ich hätte ja auch etwas ordentliches lernen können. Zum Beispiel Bäcker. Wenn man da etwas versaut, frisst man es auf und es kriegt keiner mit.

Mein ehrliches Mitgefühl gilt denen, die verantwortlich sind oder verantwortlich gemacht werden. Es kann ja sein, dass sie die Schuld haben. Aber absichtlich haben die das doch nicht gemacht. Selbst schlimme Fehler passieren häufig aus einen guten Grund.

Von meinem Vorrat an Häme kann ich ohnehin nichts davon an Leute vergeuden, die ich nicht einmal kenne. Das brauche ich alles für Typen die ich kenne und nicht mag.