03.04.2023 17:29

Weitere Informationen zu Angriffen gegen 3CX Desktop App

Seit der Veröffentlichung unserer letzten Meldung zu den Angriffen gegen die bzw. durch Missbrauch der 3CX Desktop App [1] sind inzwischen weitere Details und neue Informationen bekannt geworden [2].

Die wichtigsten Details in dieser Hinsicht sind:

  • Sowohl die Windowsversion als auch die 3CX Desktop App für macOS sind betroffen
  • Aufgrund von gefundenen forensischen Artifakte ist davon auszugehen, dass die ersten Angriffe, bzw. Aktivitäten der Angreifer:innen, nicht erst im März 2023, sondern bereits Anfang Dezember letzten Jahres begonnen haben
  • Nach einer erfolgreichen Infektion kommt es zum Nachladen einer Software die nach ersten Erkenntnissen zur Aufklärung des infizierten Systems dient. Die gesammelten Informationen dürften in weiterer Folge für die Entscheidung verwendet werden, ob es zum Nachladen weiterer Schadsoftware kommt.

 

Basierend auf den momentan verfügbaren Informationen gehen wir nicht davon aus, dass der Bedrohungsakteur Schritte unternommen hat, um weitreichend Systeme und Netzwerke zu kompromittieren. Stattdessen sieht es so aus, als hätten die Angreifer:innen es auf bestimmte Kund:innen von 3CX abgesehen. Mit Sicherheit lässt sich dies jedoch aktuell nicht sagen.

Es stehen inzwischen sowohl Sigma- als auch Yara-Regeln zur Verfügung, die bei der Erkennung des Einsatzes bösartiger 3CX Desktop App-Varianten helfen sollen. [3] Zusätzlich wurde durch Sicherheitsexpert:innen ein Service eingerichtet, mittels dessen überprüft werden kann, ob die eigene IP-Adresse in sichergestellten Kommunikationsdaten der C2-Infrastruktur auftaucht [4].

Auch das Unternehmen selbst hat inzwischen einen Beitrag auf der Firmenwebseite veröffentlicht, in welchem laufend aktualisierte Meldungen rund um den Vorfall bekannt gegeben werden [5]. Wir beobachten die Entwicklungen in diesem Fall aktiv. Sollten wir neue Informationen erhalten werden wir diese schnellstmöglich weitergeben.

[1] https://www.3cx.com/

[2] https://www.volexity.com/blog/2023/03/30/3cx-supply-chain-compromise-leads-to-iconic-incident/

[3] https://www.nextron-systems.com/2023/03/31/using-thor-lite-to-scan-for-indicators-of-lazarus-activity-related-to-the-3cx-compromise/

[4] https://checkmyoperator.com/

[5] https://www.3cx.com/blog/news/security-incident-updates/