Angriff auf die Lieferkette von 3CX betrifft Millionen von Nutzern

Zwei Sicherheitsunternehmen haben einen Angriff auf die Lieferkette von 3CX, einem beliebten Anbieter von Kommunikationssoftware, entdeckt.

Die Malware hat den Windows-Electron-Client infiziert, allerdings nur bei Kunden, die auf Version 7 aktualisiert haben. Der Angriff wurde erstmals vor über einer Woche bemerkt. Das Sicherheitsunternehmen SentinelOne entdeckte die 3CX DesktopApp-Malware und stellte fest, dass es sich nur um die erste Stufe eines mehrstufigen Angriffs handelt.

Die Malware übernimmt ICO-Dateien mit angehängten base64-Daten von Github und geht zur dritten Stufe über, wo sie zu einer Infostealer-DLL führt. Die DLL wird analysiert, um ihre Schnittstelle mit den Browserdaten zu bestimmen, so dass die Angreifer die Masse der infizierten Downstream-Kunden durchsuchen und zukünftige Operationen durchführen können. Da es sich bei der betroffenen Software um einen Desktop-Client handelt, wird den Anwendern empfohlen, die progressive Web-App anstelle des Clients zu verwenden, bis dieser aktualisiert ist.

Nick Galea, CEO von 3CX, bestätigte die Infektion und empfahl den Kunden, den PWA-Client anstelle des betroffenen Desktop-Clients zu verwenden. Das Unternehmen hat nach eigenen Angaben mehr als 12 Millionen tägliche Nutzer und bedient eine Vielzahl von Branchen, darunter große Unternehmen wie Mercedes Benz, McDonald's, BMW, Holiday Inn, der NHS, American Express, Coca-Cola und Air France.

Crowdstrike entdeckte auch ähnliche Aktivitäten auf Windows und Macs und vermutet, dass der Angriff das Werk der nordkoreanischen Labyrinth Chollima ist, einer Untergruppe von Lazarus. Die Gruppe führt in erster Linie Spionageoperationen durch, die auf die Streitkräfte der USA und Südkoreas abzielen.

3CX-Kunden haben von verdächtigen Aktivitäten, langen Listen betroffener Dateien und Verzeichnisse sowie von Shell-Skripten zur Bereinigung berichtet. Diese Foreneinträge stammen vom 22. März, als die Leute vor einem Eindringen warnten. Angriffe auf die Lieferkette sind seit dem Vorfall bei Solar Wind im Jahr 2020 eine wachsende Bedrohung. Der 3CX-Angriff ist der auffälligste seit Solar Winds und der darauf folgenden Kaseya-Krise.

Die Malware für den 3CX-Desktop-Client sammelt Informationen aus Chrome, Edge, Brave und Firefox, einschließlich des Browserverlaufs, Daten aus der Platztabelle in Firefox und den Verlaufstabellen von Chrome. Es ist wichtig zu wissen, dass Angriffe auf die Lieferkette jedes Unternehmen treffen und Millionen von Nutzern betreffen können.

Als Reaktion auf den Angriff arbeitet 3CX an einem Update für die DesktopApp, das in den nächsten Stunden veröffentlicht werden soll. Das Unternehmen kümmert sich auch sofort um BLF und Hotkeys, wenn möglich. Bis zur Veröffentlichung des neuen Builds empfiehlt 3CX dringend, den PWA-Client anstelle des betroffenen Electron-Clients zu verwenden.

Zu den Quellen für diesen Beitrag gehört ein Artikel in TheRegister.

Zusammenfassung

Artikel Name

Angriff auf die Lieferkette von 3CX betrifft Millionen von Nutzern

Beschreibung

Zwei Sicherheitsunternehmen haben einen Angriff auf die Lieferkette von 3CX, einem beliebten Anbieter von Kommunikationssoftware, entdeckt. Mehr lesen

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers