VoIP-Software 3CX verteilt Schadcode nach Sideloading-Angriff

Cybergangstern aus Nordkorea ist es offenbar gelungen, den Softphone-Client des Herstellers 3CX zu manipulieren und für DLL-Sideloading-Angriffe zu nutzen. Wie mehrere Security-Firmen übereinstimmend berichten, nimmt das softwarebasierte Telefon bereits seit letzter Woche heimlich Kontakt mit einem Netzwerk aus Command&Control-Servern auf und erlaubt den Angreifern, betroffene Systeme aus der Ferne zu kontrollieren.

CrowdStrike, spezialisiert auf die Früherkennung von Angriffen, registrierte am 29. März erste verdächtige Aktivitäten des 3CX-Desktop-Clients durch ihre Systeme. Zu diesem Zeitpunkt gingen auch bei Sophos' Früherkennung die Warnlampen an, weil sich der Softphone-Client verdächtig verhielt. Zuvor hatten bereits am 22. März Nutzer der 3CX-Software eine verdächtige Häufung von scheinbaren Fehlalarmen gemeldet, wie Sophos berichtet.

Das Programm nahm Kontakt zu einer Reihe von Domains auf, die für den ungeübten Betrachter wie legitime CDN- und Microsoft-Adressen aussehen – etwa akamaicontainer.com oder azureonlinecloud.com. Tatsächlich verbergen sich hinter den harmlos aussehenden Domains die Kommandozentralen der Angreifer, über die Schadcode – meist Remote-Shells – in die Telefoniesoftware nachgeladen wurde.

Das Einfallstor für die Attacke ist offenbar ein DLL-Sideloading-Angriff, bei dem zwei DLLs namens d3dcompiler_47.dll und ffmpeg.dll nachgeladen werden, die über Trojaner-Funktionen verfügen. Besonders perfide: Die Trojaner-DLL enthält alle legitimen 3CX-Funktionen, die auch bei der legitimen DLL erwartet würden – die Software bleibt voll funktionsfähig. So sollen sich Anwender in Sicherheit wiegen.

Spuren nach Nordkorea

Mittlerweile hat der Hersteller reagiert und nennt einige Details zu betroffenen Software-Versionen. So sind die Versionen 18.12.407 und 18.12.416 betroffen, andere Betriebssysteme oder die Portable Web App (PWA) jedoch nicht. Viele der Command&Control-Domains seien zur Stunde bereits offline, wie die Schadsoftware in den Code gelangte, weiß 3CX jedoch offenbar noch immer nicht. Administratoren von 3CX-Telefonanlagen sind aufgerufen, sich im 3CX-Forum mit den neuesten Informationen zu versorgen.

Crowdstrike glaubt, die Angreifergruppe "Labyrinth Chollima" – besser bekannt als "Lazarus Group" – als Urheber identifiziert zu haben. Diese Gruppe steht im Sold des nordkoreanischen Regimes und betätigt sich wie auch andere nordkoreanische Hackergruppen als Krypto-Devisenbeschaffer für den Staat, ist aber auch im Bereich Spionage aktiv.

Hersteller in der Kritik

3CX steht nicht zum ersten Mal wegen Sicherheitsproblemen in der Kritik. Bereits vor einem Jahr entdeckte ein Sicherheitsforscher, dass die Nutzerpasswörter in der Telefonieplattform im Klartext gespeichert werden und etwa durch den Administrator eingesehen und exportiert werden können. Dieses mit CVE-2021-45491 bezeichnete Sicherheitsproblem ist offenbar seither nicht behoben worden. Im Forum von heise Security Pro diskutieren Sicherheitsverantwortliche deshalb aktuell, welche rechtlichen Konsequenzen deutschen Unternehmen drohen können, wenn sie diese Software weiterhin einsetzen (der Zugang zu diesem Forum erfordert ein heise-Security-Pro-Konto).

(cku)