VOIP/PBX-Software 3CX für Sideloading-Angriff missbraucht

Sophos News

Beitrag teilen

Zurzeit sorgt eine trojanisierte Version der beliebten Telefonsystem VOIP/PBX-Software 3CX für Schlagzeilen. Das Geschäftstelefonsystem wird weltweit von Unternehmen in 190 Ländern genutzt. Windows-Nutzern wird per DLL-Sideloading-Angriff ein Installationsprogramm samt Trojaner unterschoben.

Bei der Attacke scheint es scheint sich um einen Supply-Chain-Angriff gehandelt zu haben, bei dem Angreifer ein Installationsprogramm für die Desktop-Anwendung hinzufügen konnten, das letztendlich eine bösartige, verschlüsselte Nutzlast per DLL seitenweise lädt.

Telefonsystem greift heimlich an

Mat Gangwer, VP Managed Threat Response bei Sophos zur aktuellen Situation: „Den Angreifern ist es gelungen, die Anwendung zu manipulieren, um ein Installationsprogramm hinzuzufügen, das DLL-Sideloading verwendet. Durch diese Hintertür wird schließlich eine schädliche, verschlüsselte Nutzlast abgerufen. Diese Taktik ist nicht neu, sie ähnelt der DLL-Sideloading-Aktivität, die bereits bei anderen Attacken zum Einsatz kam. Wir haben drei der entscheidenden Komponenten dieses DLL-Sideloading-Szenarios identifiziert.“

Die betroffene Software 3CX ist ein legitimes, softwarebasiertes PBX-Telefonsystem, das unter Windows, Linux, Android und iOS verfügbar ist. Zurzeit scheinen nur Windows-Systeme von dem Angriff betroffen zu sein. Die Anwendung wurde von den Angreifern missbraucht, um ein Installationsprogramm hinzuzufügen, das mit verschiedenen Command-and-Control-Servern (C2) kommuniziert. Bei der aktuellen Attacke handelt es sich um eine digital signierte Version des Softphone-Desktop-Clients für Windows, die einen bösartigen Payload enthält. Die bisher am häufigsten beobachtete Aktivität nach Ausnutzung der Sicherheitslücke ist das Aktivieren einer interaktiven Befehlszeilenoberfläche (Command Shell).

PBX-Telefonsystem für Windows

Sophos MDR identifizierte am 29. März 2023 erstmals böswillige Aktivitäten, die sich gegen seine eigenen Kunden richteten und von 3CXDesktopApp stammten. Darüber hinaus hat Sophos MDR festgestellt, dass bei der Attacke ein öffentlicher Dateispeicher zum Hosten verschlüsselter Malware genutzt wurde. Dieses Repository wird seit dem 8. Dezember 2022 verwendet.

„Der Angriff selbst basiert auf einem DLL-Sideloading-Szenario mit einer bemerkenswerten Anzahl beteiligter Komponenten“, so Matt Gangwer. „Dies sollte wahrscheinlich sicherstellen, dass Kunden das 3CX-Desktop-Paket verwenden konnten, ohne etwas Ungewöhnliches zu bemerken.“

Bis dato hat Sophos folgende, entscheidende Komponenten des Angriffs identifiziert:

  • 3CXDesktopApp.exe, der Clean-Loader
  • d3dcompiler_47.dll, eine DLL mit einer angehängten verschlüsselten Nutzlast
  • ffmpeg.dll, der trojanisierte bösartige Loader

Die Datei ffmpeg.dll enthält eine eingebettete URL, die einen bösartig kodierten ICO-Payload abruft. In einem normalen DLL-Sideloading-Szenario würde der bösartige Loader (ffmpeg.dll) die legitime Anwendung ersetzen; seine einzige Funktion wäre es, die Nutzlast in eine Warteschlange zu stellen. In diesem Fall ist der Loader jedoch vollständig funktionsfähig, wie es normalerweise im 3CX-Produkt der Fall wäre – als Ersatz wird eine zusätzliche Nutzlast in die DllMain-Funktion eingefügt. Dies erhöht zwar die Paketgröße, hat aber möglicherweise bei Anwendern den Verdacht verringert, dass etwas nicht stimmt, da die 3CX-Anwendung funktioniert wie erwartet – selbst während der Trojaner das C2-Beacon adressiert.

Gesehen, erkannt, blockiert

SophosLabs hat die schädlichen Domänen blockiert und die folgende Endpoint-Erkennung veröffentlicht: Troj/Loader-AF. Zusätzlich wurde die Liste bekannter C2-Domains blockiert, die mit der Bedrohung in Verbindung gebracht werden. Diese wird in der IOC-Datei auf dem Sophos GitHub weiter ergänzt. Last but not least wird die bösartige Datei ffmpeg.dll als von geringer Reputation gekennzeichnet.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Ransomware attackiert Hypervisoren

Eine neue Ransomware-Attacke der bekannten Gruppe Cyberkrimineller RedCurl richtet sich gezielt auf Hypervisoren anstatt auf Endpunkte. So wollen die Angreifer ➡ Weiterlesen

SideWinder: Die APT-Gruppe attackiert Atomkraftwerke

Die APT-Gruppe SideWinder, die schon seit mehr als einem Jahrzehnt aktiv ist, hat ihre Angriffe auf neue Ziele und Regionen ➡ Weiterlesen

Ransomware-Angriffe steigen stark an

Nach etwas Ruhe verzeichnen Security-Experten nun wieder einen starken Anstieg von Angriffen mit Ransomware. In einem vergleich mit dem Februar ➡ Weiterlesen

Multimodale KI verbessert die Cyberabwehr

Beste Erkennungsraten beim Einsatz multimodaler KI: Anstatt einzelne Ereignisse zu analysieren untersucht multimodale KI gleichzeitig ganze Datenströme, wertet Bilder und ➡ Weiterlesen

140 Prozent plus: Remote-Ransomware steigt rasant an 

Neuesten Erkenntnisse aus dem Bereich Remote-Ransomware: Die Forschungen der Security-Spezialisten haben bereits Ende 2023 bei Remote-Verschlüsselungsangriffen den enormen Anstieg von ➡ Weiterlesen

Bußgelder wegen Verstößen gegen die DSGVO

US-amerikanische Unternehmen und Institutionen sind weltweit am häufigsten Opfer von Cybersecurity-Angriffen, gefolgt von Deutschland und Großbritannien. Zu diesem Ergebnis kommt ➡ Weiterlesen

DeepSeek: Kriminelle verbreiten damit Malware

Experten zufolge, schafft die rapide Verbreitung generativer KI-Anwendungen neue Möglichkeiten für Cyberkriminelle. Auch der neue AI Chatbot DeepSeek ist schon ➡ Weiterlesen

Cyberattacken: Gefahr für die Lieferkette

Mit dem stetigen Voranschreiten der digitalen Transformation in den letzten Jahren wurden Unternehmen zunehmend abhängig von zahlreichen Partnern und Lieferanten. ➡ Weiterlesen