Telefonsystem 3CX für DLL-Sideloading-Angriff genutzt

Lesezeit
1 Minute
Bis jetzt gelesen

Telefonsystem 3CX für DLL-Sideloading-Angriff genutzt

30.03.2023 - 10:22
Veröffentlicht in:

Eine trojanisierte Version der beliebten VoIP/PBX-Software 3CX ist aufgetaucht. Das Geschäftstelefonsystem wird weltweit von Unternehmen in 190 Ländern genutzt. Bei der Attacke scheint es scheint sich um einen Supply-Chain-Angriff gehandelt zu haben, bei dem Angreifer ein Installationsprogramm für die Desktop-Anwendung hinzufügen konnten, das letztendlich eine bösartige, verschlüsselte Nutzlast per DLL seitenweise lädt.

Die betroffene Software 3CX ist ein legitimes, softwarebasiertes PBX-Telefonsystem, das unter Windows, Linux, Android und iOS verfügbar ist. Zurzeit scheinen nur Windows-Systeme von dem Angriff betroffen zu sein. Die Anwendung wurde von den Angreifern missbraucht, um ein Installationsprogramm hinzuzufügen, das mit verschiedenen Command-and-Control-Servern (C2) kommuniziert.

Bei der aktuellen Attacke handelt es sich um eine digital signierte Version des Softphone-Desktop-Clients für Windows, die einen bösartigen Payload enthält. Die bisher am häufigsten beobachtete Aktivität nach Ausnutzung der Sicherheitslücke ist das Aktivieren einer interaktiven Befehlszeilenoberfläche (Command Shell).

Sophos MDR identifizierte am 29. März erstmals böswillige Aktivitäten, die sich gegen seine eigenen Kunden richteten und von 3CXDesktopApp stammten. Darüber hinaus hat Sophos MDR festgestellt, dass bei der Attacke ein öffentlicher Dateispeicher zum Hosten verschlüsselter Malware genutzt wurde. Dieses Repository wird seit dem 8. Dezember 2022 verwendet.

Bis dato hat Sophos folgende Komponenten des Angriffs ausgemacht:

  • 3CXDesktopApp.exe, der Clean-Loader
  • d3dcompiler_47.dll, eine DLL mit einer angehängten verschlüsselten Nutzlast
  • ffmpeg.dll, der trojanisierte bösartige Loader

Die Datei ffmpeg.dll enthält eine eingebettete URL, die einen bösartig kodierten ICO-Payload abruft. In einem normalen DLL-Sideloading-Szenario würde der bösartige Loader (ffmpeg.dll) die legitime Anwendung ersetzen; seine einzige Funktion wäre es, die Nutzlast in eine Warteschlange zu stellen.

In diesem Fall ist der Loader jedoch vollständig funktionsfähig, wie es normalerweise im 3CX-Produkt der Fall wäre – als Ersatz wird eine zusätzliche Nutzlast in die DllMain-Funktion eingefügt. Dies erhöht zwar die Paketgröße, hat aber möglicherweise bei Anwendern den Verdacht verringert, dass etwas nicht stimmt, da die 3CX-Anwendung funktioniert wie erwartet – selbst während der Trojaner das C2-Beacon adressiert.

SophosLabs hat seinerseits die schädlichen Domänen blockiert und die folgende Endpoint-Erkennung veröffentlicht: Troj/Loader-AF. Zusätzlich wurde die Liste bekannter C2-Domains blockiert, die mit der Bedrohung in Verbindung gebracht werden. Diese wird in der IOC-Datei auf dem Sophos GitHub weiter ergänzt. Last but not least wird die bösartige Datei ffmpeg.dll als von geringer Reputation gekennzeichnet.

Ähnliche Beiträge

Keeper Security mit Updates für mehr administrative Kontrolle

Keeper Security, Anbieter von Zero-Trust- und Zero-Knowledge-Software zum Schutz von Anmeldedaten, privilegiertem Zugang und Remote-Verbindungen hat die Benutzeroberfläche seiner Admin-Konsole optimiert und das Onboarding überarbeitet. Die Updates stellen eine direkte Reaktion auf die Rückmeldungen der Benutzer-Community dar.