Wie bekannt wurde, gibt es aktuell eine sogenannte Supply-Chain-Attacke im Zusammenhang mit der 3CX-Desktop-App. Dabei handelt es sich um eine IP-Telefonie-Software der Firma 3CX. Die genannte App ist valide signiert, aber trotzdem mit Schadcode versehen. Das deutet auf einen erfolgreichen Angriff auf den Hersteller hin. Wir liefern Details und Handlungsempfehlungen.
Anders als in anderen beobachteten Supply-Chain-Attacken, bei denen vor allem hochprofilierte Ziele im Fokus standen, untersucht das InfoGuard CSIRT aktuell auch bereits Fälle im Zusammenhang mit weniger exponierten Unternehmen. Das Risiko besteht also für jedes Unternehmen, welches diese Software einsetzt.
Wird die maliziös veränderte Datei ausgeführt, nimmt sie Kontakt zu mehreren Command-and-Control-(C2-)Servern auf, um weitere Befehle abzuholen. Es gibt Anzeichen, dass die fragliche Software bereits über eine Woche in einem infizierten Zustand ausgeliefert wurde. Es zeigt sich zudem, dass nicht jede Entität, die das infizierte Binary installiert hat, auch unmittelbar weiter angegriffen wird.
3CX-Software im Einsatz – und jetzt?
Sollten Sie 3CX-Software im Einsatz haben, überprüfen Sie, ob Sie aktuell bekannt infizierte Versionen einsetzen. Folgender Reddit-Post bietet immer wieder aktualisierte Indikatoren an: https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/
Beachten Sie, dass diese Liste zum aktuellen Zeitpunkt nicht zwangsläufig vollständig ist und sich noch ändern kann.
InfoGuard unterstützt Sie gerne dabei, Ihre Umgebung auf Befall zu überprüfen. Kunden mit einem 7x24 CDC EDR Service werden mit einem proaktiven Critical Mitigation Hunting (CIM) überprüft.
Weiterführende Informationen des Herstellers finden Sie unter: https://www.3cx.com/blog/news/desktopapp-security-alert/