3CX: Ergebnisse zu Sicherheitsvorfall mit 3CX Desktop App

B2B Cyber Security ShortNews

Beitrag teilen

3XC, der Anbieter der beliebten Telefonsystem VOIP/PBX-Software, hatte ein Problem mit einer trojanisierten Version der 3CX Desktop App. Da 600.000 Kunden in 190 Ländern auf Antworten warten, hat 3CX den Spezialist Mandiant als Untersuchungsteam für die forensische Analyse eingesetzt. Nun liegen die ersten Erkenntnisse vor, dass es sich wahrscheinlich um eine nordkoreanische APT-Gruppe handelt.

Basierend auf der bisherigen Untersuchung von Mandiant zum 3CX-Intrusions- und Lieferkettenangriff ordnen sie die Aktivität einem Cluster namens UNC4736 zu. Mandiant geht mit großer Sicherheit davon aus, dass UNC4736 eine nordkoreanische Verbindung hat.

Anzeige

Windows-basierte Malware

Mandiant stellte fest, dass der Angreifer gezielte 3CX-Systeme mit TAXHAUL-Malware (alias „TxRLoader“) infiziert hatte. Bei der Ausführung auf Windows-Systemen entschlüsselt und führt TAXHAUL Shellcode aus, der sich in einer Datei mit dem Namen <machine hardware profile GUID>.TxR.0.regtrans-ms befindet, die sich im Verzeichnis C:\Windows\System32\config\TxR\ befindet. Der Angreifer hat wahrscheinlich diesen Dateinamen und Speicherort gewählt, um zu versuchen, sich in Standard-Windows-Installationen einzufügen.

Die Malware verwendet die Windows CryptUnprotectData-API, um den Shellcode mit einem kryptografischen Schlüssel zu entschlüsseln, der für jeden kompromittierten Host eindeutig ist, was bedeutet, dass die Daten nur auf dem infizierten System entschlüsselt werden können. Der Angreifer hat diese Designentscheidung wahrscheinlich getroffen, um die Kosten und den Aufwand einer erfolgreichen Analyse durch Sicherheitsforscher und Untersuchungskräfte zu erhöhen.

In diesem Fall war nach dem Entschlüsseln und Laden des in der Datei <machine hardware profile GUID>.TxR.0.regtrans-ms enthaltenen Shellcodes ein komplexer Downloader, den Mandiant COLDCAT nannte. Es ist jedoch erwähnenswert, dass sich diese Malware von GOPURAM unterscheidet, auf das in Kasperskys Bericht (Not just an infostealer: Gopuram backdoor deployed through 3CX supply chain attack) verwiesen wird.

MacOS-basierte Malware

Mandiant hat auch eine MacOS-Hintertür mit dem aktuellen Namen SIMPLESEA identifiziert, die sich unter /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f) befindet. Mandiant analysiert immer noch SIMPLESEA, um festzustellen, ob es sich mit einer anderen bekannten Malware-Familie überschneidet.

Die in C geschriebene Hintertür kommuniziert über HTTP. Zu den unterstützten Backdoor-Befehlen gehören Shell-Befehlsausführung, Dateiübertragung, Dateiausführung, Dateiverwaltung und Konfigurationsaktualisierung. Es kann auch beauftragt werden, die Konnektivität einer bereitgestellten IP- und Portnummer zu testen.

Die Hintertür prüft die Existenz ihrer Konfigurationsdatei unter /private/etc/apdl.cf. Wenn es nicht vorhanden ist, wird es mit fest codierten Werten erstellt. Die Konfigurationsdatei ist Single-Byte-XOR-codiert mit dem Schlüssel 0x5e. Die C2-Kommunikation wird über HTTP-Anforderungen gesendet. Bei der ersten Ausführung wird eine Bot-ID zufällig mit der PID der Malware generiert. Die ID wird mit C2-Verbindungen gesendet. Ein kurzer Host Survey Report ist in Beacon Requests enthalten. Nachrichteninhalte werden mit der A5 Stream Cipher gemäß den Funktionsnamen in der Binärdatei verschlüsselt.

Weitere Auswertung für Experten

3CX bietet eine noch informellere Auswertung der Ergebnisse auf seiner Webseite an. Dort sind auch weitere Informationen zu den einzelnen Protokollen und YARA-Regeln, die man verwenden werden, um nach TAXHAUL (TxRLoader) zu suchen.

Mehr bei 3CX.com

 


Über 3CX

Gegründet im Jahr 2005, als VoIP noch eine aufstrebende Technologie war, hat sich 3CX seither zu einem weltweit führenden Anbieter für Business VoIP-Kommunikation etabliert. Durch die Nutzung des offenen SIP-Standards und WebRTC-Technologie ist 3CX seinen Wurzeln Telefonsystem entwachsen und hat sich zu einer kompletten Kommunikationsplattform weiterentwickelt.


 

Passende Artikel zum Thema

Hackerangriff auf Stromanbieter Tibber

Vor wenigen Tagen gab es einen Hackerangriff auf den Stromanbieter Tibber und seinen Verkaufs-Store. Laut Anbieter haben die Hacker zwar ➡ Weiterlesen

Gratis Entschlüsselungs-Tool für Shrinklocker-Ransomware

Für Opfer von Attacken mit der Shrinklocker-Ransomware hat Bitdefender einen kostenlosen Dekryptor entwickelt um verschlüsselte Dateien wiederherstellen können. Das ursprünglich ➡ Weiterlesen

Hacker attackieren statistisches Bundesamt Destatis

Das Statistische Bundesamt - Destatis - wurde Opfer eines Hackerangriff. Da es Hinweise auf ein Datenleck gab, wurde das Meldesystem ➡ Weiterlesen

Leitfaden zur KI-Verordnung

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Zwei Drittel der Unternehmen brauchen Hilfe bei der Umsetzung der KI-Verordnung ➡ Weiterlesen

Bring your own KI

In jedem dritten Unternehmen werden private KI-Zugänge genutzt. Auf der anderen Seite hat bisher nur jedes siebte Unternehmen Regeln zum ➡ Weiterlesen

Datensicherheit: Backup-Strategie ist das Rückgrat

Als Folge des fehlerhaften CrowdStrike Updates im Sommer diesen Jahres kam es bei fast jedem zweiten betroffenen Unternehmen in Deutschland ➡ Weiterlesen

Studie: Digitale Mitarbeitererfahrung verbessert die Cybersicherheit

Neun von zehn Führungskräften sind überzeugt, dass ihr Unternehmen gewinnt, wenn sie digitale Mitarbeitererfahung priorisieren, so die Ergebnisse einer Umfrage. ➡ Weiterlesen

Patchday bei SAP

SAP hat mehrere Patches veröffentlicht, die insgesamt acht Schwachstellen betreffen. Eine davon ist als schwerwiegend eingestuft. Am schwersten wiegt eine ➡ Weiterlesen