VoIP-Software 3CX verteilt Schadcode nach Sideloading-Attacke
von Tina Siering
Nordkoreanische Cyberkriminelle haben offensichtlich den VoIP-Desktop-Client des Softwareherstellers 3CX manipuliert und für DLL-Sideloading-Angriffe genutzt. Mehr als 600.000 Unternehmen mit über 12 Millionen Anwendern nutzen das Tool täglich.
Das Programm nahm Kontakt zu einer Reihe von Domains auf, über die Schadcode (meist Remote-Shells) in die Telefonie-Software nachgeladen wurde. Diese sahen zunächst nach legitimen Adressen von CDN und Microsoft aus (z.B.akamaicontainer.com oder azureonlinecloud.com.)
Das Einfallstor für die Attacke ist ein DLL-Sideloading-Angriff, bei dem zwei DLL-Dateien (d3dcompiler_47.dll und ffmpeg.dll ) nachgeladen wurden, die über Trojaner-Funktionen verfügen. Besonders heimtückisch ist dabei die Tatsache, dass die “Trojaner-DLL” alle zulässigen 3CX-Funktionen enthält, die auch bei der legitimen DLL erwartet würden. In der Folge arbeitet die Software stabil.
Die maliziöse Command & Control-Serverkommunikation wurde jedoch in der vergangenen Woche übereinstimmend von mehreren Sicherheitsfirmen bemerkt. Mittlerweile hat der Hersteller reagiert und erste Details bekannt gegeben: Betroffen sind die Windows-Versionen von 3CX-Desktop-Apps 18.12.407 und 18.12.416 und die neuesten Mac App-Version: 18.11.1213, 18.12.402, 18.12.407 und 18.12.416 - alle Versionen sind bereits aus dem Verkehr gezogen.
Administratoren von 3CX-Telefonanlagen werden gebeten, installierte Versionen zu prüfen und sich im 3CX-Forum auf dem Laufenden zu halten. Als eine Sofortmaßnahme rät der CEO Nicka Galea, die betroffenen Apps unbedingt zu deinstallieren. Als weitere Maßnahme wurde empfohlen, bis zur Veröffentlichung des Updates die vollständig webbasierte PWA-App des Anbieters zu verwenden.
Die bisherigen Erkenntnisse legen die Vermutung nahe, dass die Angreifergruppe "Labyrinth Chollima", auch bekannt als "Lazarus Group" aus Nordkorea hinter den Angriffen steckt.
Kunden mit einem aktiven Managed Service Vertrag für Active Cyber Defense werden selbstverständlich separat über maliziöse Kommunikation auf ihren Systemen informiert. Seit gestern prüfen wir diese aktiv auf den Schadcode.
Quelle: Twitter / Thomas Roccia @fr0gger_