Das Unternehmen 3CX wurde Opfer einer Supply-Chain-Attacke. Dabei wurde eine digital signierte und trojanisierte Version der Desktop-Client-Software verwendet, um Endkunden des Unternehmens anzugreifen. Diverse Schweizer Unternehmen sind betroffen.
3CX ist ein VoIP-IPBX-Softwareentwicklungsunternehmen, dessen 3CX Phone System von mehr als 600.000 Unternehmen weltweit genutzt wird. Laut Berichten der Sicherheitsforscher von Sophos und CrowdStrike zielen die Angreifer sowohl auf Windows- als auch auf macOS-Benutzer der kompromittierten 3CX-Softphone-App ab.
Zu den betroffenen Unternehmen gehören bekannte Marken wie American Express, Coca-Cola, McDonald’s, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA und der National Health Service des Vereinigten Königreichs. Forscher vermuten, dass die Attacke von einer nordkoreanischen Gruppe namens Labyrinth Collima durchgeführt wird, die für ihre Verbindungen zur Lazarus-Gruppe bekannt ist, aber dies ist noch nicht bestätigt. Die Malware, die in dieser Attacke verwendet wird, hat die Fähigkeit, Systeminformationen zu sammeln und Daten und gespeicherte Anmeldeinformationen von Chrome-, Edge-, Brave- und Firefox-Benutzerprofilen zu stehlen.
CrowdStrike registrierte die Attacke
CrowdStrike, führender Hersteller von Endpoint Detection and Response (EDR) Lösungen, registrierte am 29. März 2023 als einer der Ersten verdächtige Aktivitäten des 3CX-Desktop-Client durch ihre Systeme. CrowdStrike ist auf die Früherkennung von Angriffen spezialisiert. Die Angreifer haben eine Methode namens DLL-Sideloading benutzt, um den Trojaner einzuschleusen. Dabei wurden zwei Dateien namens d3dcompiler_47.dll und ffmpeg.dll verwendet, die heimliche Funktionen enthalten. Das Schlimme daran ist, dass die Trojaner-Datei alle normalen Funktionen der 3CX-Software enthält, sodass die Nutzer denken, dass alles in Ordnung ist und keine Gefahr besteht.
Reaktion des Herstellers
Der Hersteller hat reagiert und gibt bekannt, welche Versionen der Software betroffen sind: 18.12.407 und 18.12.416. Viele der Command&Control-Domains, die von der Schadsoftware genutzt wurden, sind jetzt bereits wieder offline. 3CX weiss jedoch noch nicht, wie die Schadsoftware in den Code gelangt ist. Administratoren von 3CX-Telefonanlagen sollten im 3CX-Forum nach den neuesten Informationen suchen.
Schützen Sie sich – Das KMU Cyber Defense Center von ProCloud
Wir setzen mit unseren Cyber Defense Center Lösungen schon seit vielen Jahren unter anderem auf Hersteller wie CrowdStrike und dürfen bereits viele Referenzkunden damit schützen.
Sie benötigen nicht selbst das Personal, um einen Cyber Security Detection und Response Service bis zu 24/7 intern zu erbringen: Mit jahrzehntelanger Erfahrung im Datacenter-Betrieb und unserem mehrfach ausgezeichneten Support stellt die ProCloud auf Basis der weltweit führenden Cyber-AI-Lösung ein erstklassiges Angebot für ein Security Operation Center dar.
ProCloud – Vertrauen Sie dem Pionier
Wir sind ein Cloud Services und Cyber Security fokussierter Dienstleister. Die ProCloud setzt seit der Unternehmensgründung und damit seit über 10 Jahren 100% auf die Cloud. Das macht uns zum Pionier im Cloud Bereich. In dieser Zeit haben wir 600 Kunden auf ihrem Weg in die Cloud begleiten dürfen. Wenn Sie einen modernen IT Partner suchen, sind wir der Richtige. Bei Fragen sind wir für Sie verfügbar, wir beraten Sie gerne.
