BSI: Alarmstufe Orange wegen Trojaner in 3CX-Softphone-App

Die weitverbreitete Telefonie-Software von 3CX enthielt den Schadcode der nordkoreanischen Lazarus-Hacker. Auch die Mac-Version war infiziert.

In Pocket speichern vorlesen Druckansicht 103 Kommentare lesen

(Bild: Skorzewiak/Shutterstock.com)

Update
Lesezeit: 3 Min.

Weltweit rund 600.000 Kunden und 12 Millionen tägliche Nutzer – mit 3CX hat es einen weiteren, zentralen IT-Lieferanten erwischt: Die digital signierte Softphone-App direkt vom Hersteller enthielt Schadcode, der unter anderem einen sogenannten Infostealer aus dem Internet nachlud. Das BSI erhöht deshalb in seiner Warnung die IT-Bedrohungslage auf "3 / Orange". Das steht für: "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs."

Wie gestern bereits berichtet, gelang es der vermutlich aus Nordkorea gesteuerten Hackergruppe Lazarus, die Software von 3CX mit einem Downloader zu präparieren, der weitere Schad-Software nachlud. Mittlerweile ist bekannt, dass nicht nur die Windows-Versionen 18.12.407 und 18.12.416, sondern auch die MacOS-Version des 3CX Softphone betroffen sind. Wie der Hersteller bestätigt, sind die Mac-Electron-Apps mit den Versionsnummern 18.11.1213, 18.12.402, 18.12.407 & 18.12.416 infiziert.

Wer die infizierten Apps in Betrieb hatte, sollte die betroffenen Systeme unverzüglich von allen Netzen trennen und sich auf die Suche nach möglichen Hinterlassenschaften machen. Der nachgeladene Infostealer liest laut Sentinel unter anderem Informationen aus den Browsern Chrome, Edge, Brave und Firefox aus. Es besteht die Gefahr, dass die Einbrecher diese Informationen nutzten, um weitere Systeme zu kapern. Bei der Suche helfen die am Ende aufgeführten Indicators of Compromise (IoCs), deren Vorhandensein im Netz eine akute Kompromittierung bedeutet. In einem solchen Fall sollte man unbedingt professionelle Hilfe zur Incident Response hinzuziehen.

Update

Am einfachsten gestaltet sich die Suche nach unliebsamen Hinterlassenschaften mit Desinfec't. Das enthält den Scanner Thor Lite, der mit den aktuellen Signaturen nicht nur die trojansierten 3CX-Dateien erkennt, sondern auch die nachgeladenen Hinterlassenschaften wie den Infostealer.

Die Firma 3CX betont in ihrem "Security Alert", dass die Mehrzahl der kontaktierten Domains bereits stillgelegt wurde. Die überwiegende Mehrzahl der betroffenen Systeme sei – obwohl die trojanisierten Dateien vorhanden waren – "tatsächlich nie infiziert worden", heißt es dort sogar beschwichtigend.

Das ist schon eine sehr gewagte These. Überhaupt macht 3CX in dieser Angelegenheit keine gute Figur. Bereits vor einer Woche ab dem 22. März meldeten mehrere Kunden in deren Foren Alarme von Antiviren-Software beim Einsatz von 3CX-Software, ohne dass es eine Reaktion gab. Noch am Mittwoch, den 29. beschwerten sich Kunden über ausbleibende Rückmeldungen des Herstellers. Erst als ab dem 30. März Crowdstrike und SentinelOne Alarm schlugen, kam Bewegung in die Sache.

Dazu passt eine Diskussion im Forum von heise Security Pro (nur für Mitglieder), in der Sicherheitsverantwortliche die Tatsache diskutieren, dass 3CX Passwörter immer noch im Klartext speichert. Das ist seit über einem Jahr bekannt und entspricht definitiv nicht dem von der DSGVO geforderten Stand der Technik. Doch 3CX hat daran seither offenbar nichts geändert. Firmen, die diese Software trotzdem einsetzen, riskieren heftige Bußgelder, erklärt Heise-Justiziar Jörg Heidrich den Forenmitgliedern.

Kontaktierte Domains:

  • akamaicontainer[.]com
  • akamaitechcloudservices[.]com
  • azuredeploystore[.]com
  • azureonlinecloud[.]com
  • azureonlinestorage[.]com
  • dunamistrd[.]com
  • glcloudservice[.]com
  • journalide[.]org
  • msedgepackageinfo[.]com
  • msstorageazure[.]com
  • msstorageboxes[.]com
  • officeaddons[.]com
  • officestoragebox[.]com
  • pbxcloudeservices[.]com
  • pbxphonenetwork[.]com
  • pbxsources[.]com
  • qwepoi123098[.]com
  • sbmsa[.]wiki
  • sourceslabs[.]com
  • visualstudiofactory[.]com
  • zacharryblogs[.]com
  • github[.]com/IconStorages/images

SHA-1-Hashes bösartiger Files:

  • 20d554a80d759c50d6537dd7097fed84dd258b3e | d3dcompiler_47_v10.0.20348.1.dll
  • bf939c9c261d27ee7bb92325cc588624fca75429 | ffmpeg.dll
  • cad1120d91b812acafef7175f949dd1b09c6c21a | Infostealer

Weitere IOCs stellt etwa Volexity auf GitHub bereit.

Update

3CX stellt jetzt in Zusammenarbeit mit Nextron Systems eine erweiterte Version des Scanners Thor Lite bereit. Der entdeckt nicht nur die bekannten nachgeladenen Dateien sondern sucht auch aktiv in den System-Logs nach Indizien einer aktiven Infektion – also etwa den Kontakt zu einem der bekannten Kontrollserver. Das dürfte damit die bislang beste Methode sein, potenziell infizierte Systeme zu untersuchen.

(ju)