Mehrere Sicherheitsfirmen haben Alarm geschlagen ein aktiver Angriff auf die Lieferkette, der eine trojanisierte Version von 3CX verwendet weit verbreiteter Client für Sprach- und Videoanrufe um nachgelagerte Kunden anzusprechen.

3CX ist der Entwickler eines softwarebasierten Telefonsystems, das von mehr als 600.000 Organisationen weltweit verwendet wird, darunter BMW, McDonald’s und der britische National Health Service. Das Unternehmen behauptet, täglich mehr als 12 Millionen Benutzer auf der ganzen Welt zu haben.

Forscher der Cybersicherheitsunternehmen CrowdStrike, Sophos und SentinelOne haben am Mittwoch Blog-Beiträge veröffentlicht, in denen ein Angriff im Stil von SolarWinds – von SentinelOne als „Smooth Operator“ bezeichnet – beschrieben wird, bei dem trojanisierte 3CXDesktopApp-Installationsprogramme bereitgestellt werden, um Infostealer-Malware in Unternehmensnetzwerken zu installieren.

Diese Malware ist in der Lage, Systeminformationen zu sammeln und Daten und gespeicherte Anmeldeinformationen zu stehlen Google Chrome, Microsoft Edge, Brave und Firefox-Benutzerprofile. Andere beobachtete böswillige Aktivitäten umfassen laut CrowdStrike das Beaconing auf eine von Akteuren kontrollierte Infrastruktur, den Einsatz von Payloads der zweiten Stufe und in einer kleinen Anzahl von Fällen „Hands-on-Keyboard-Aktivitäten“.

Sicherheitsforscher berichten, dass Angreifer sowohl auf die Windows- als auch auf die macOS-Version der kompromittierten VoIP-App abzielen. Derzeit scheinen die Linux-, iOS- und Android-Versionen nicht betroffen zu sein.

Forscher von SentinelOne sagten, sie hätten am 22. März zum ersten Mal Hinweise auf böswillige Aktivitäten gesehen und die Anomalien sofort untersucht, was zu der Entdeckung führte, dass einige Organisationen versuchten, eine trojanisierte Version der 3CX-Desktop-App zu installieren, die mit einem gültigen digitalen Zertifikat signiert worden war. Apple-Sicherheitsexperte Patrick Wardle ebenfalls gefunden dass Apple die Malware notariell beglaubigt hatte, was bedeutet, dass das Unternehmen sie auf Malware überprüft hat und keine entdeckt wurde.

3CX-CISO Pierre Jourdan genannt am Donnerstag, dass dem Unternehmen ein „Sicherheitsproblem“ bekannt ist, das sich auf seine Windows- und MacBook-Anwendungen auswirkt.

Jourdan merkt an, dass dies anscheinend ein „gezielter Angriff eines Advanced Persistent Threat, vielleicht sogar staatlich geförderten“ Hackers war. CrowdStrike vermutet, dass der nordkoreanische Bedrohungsakteur Labyrinth Chollima, eine Untergruppe der berüchtigten Lazarus-Gruppe, hinter dem Angriff auf die Lieferkette steckt.

Als Problemumgehung fordert das Unternehmen 3CX seine Kunden auf, die App zu deinstallieren und erneut zu installieren oder alternativ seinen PWA-Client zu verwenden. „In der Zwischenzeit entschuldigen wir uns zutiefst für das, was passiert ist, und wir werden alles in unserer Macht Stehende tun, um diesen Fehler wieder gut zu machen“, sagte Jourdan.

Es gibt viele Dinge, die wir noch nicht über den 3CX-Supply-Chain-Angriff wissen, einschließlich der Frage, wie viele Unternehmen möglicherweise kompromittiert wurden. Laut Shodan.io, einer Website, die mit dem Internet verbundene Geräte abbildet, gibt es derzeit mehr als 240.000 öffentlich zugängliche 3CX-Telefonverwaltungssysteme.