VoIP-Software von 3CX: Erste Analyse-Ergebnisse

Nachdem es Cyber-Einbrechern gelungen ist, in einem Lieferkettenangriff der weitverbreiteten VoIP-Software von 3CX Schadcode unterzujubeln, kommen die IT-Sicherheitsexperten von Mandiant nun zu ersten Ergebnissen bei ihren Untersuchungen. Die forensische Analyse des Netzwerks und der Produkte sei weiter im Gange, erklärt der Hersteller.

Mandiant-Analyse: Angreifer mit großer Sicherheit aus Nordkorea

Bislang gingen IT-Sicherheitsunternehmen von nordkoreanischen Angreifern mit Verbindungen zur Lazarus-Cybergang aus. Mandiant sieht die Verursacher ebenfalls in der abgeschotteten Diktatur, nennt die kriminelle Vereinigung jedoch UNC4736. Wie 3CX in einem Blog-Beitrag ausführt, hat Mandiant bei der Untersuchung herausgefunden, dass Windows-Systeme mit der 3CX-Software mit der Malware Taxhaul infiziert wurden, auch unter dem Namen TxRLoader bekannt.

Darin liegt wiederum Shellcode, der mit echter Kryptografie verschlüsselt ist, für jede Infektion mit individuellen Schlüsseln. Der Shellcode ist ein komplexer Downloader, den Mandiant Coldcat nennt. Taxhaul erreiche Persistenz durch sogenanntes DLL-Sideloading – die DLL wird im legitimen Suchpfad etwa mit einem Namen einer anderen "echten" DLL versteckt und an ihrer Statt geladen.

Die macOS-Malware ist eine Hintertür, die Mandiant Simplesea nennt. Die Analyse des Schädlings dauere noch an. Er sei in C geschrieben und unterstütze Backdoor-Kommandos zur Ausführung von Shell-Befehlen, Dateiübertragung, zum Ausführen von Dateien, zur Dateiverwaltung und Aktualisierung der Konfiguration. Sogar einen Verbindungstest zu IP- und Portnummer stelle Simplesea bereit. Beim ersten Start erstelle die Malware eine Bot-ID aus der Prozess-ID und sende diese bei Verbindungen zum Command-and-Control-Server (C&C). Die Nachrichteninhalte bei der Kommunikation mit dem C&C seien mit dem Stream-Cipher A5 verschlüsselt – der gehört zum GSM-Mobilfunkstandard.

Im Blog-Beitrag führt 3CX eine YARA-Regel auf, mit der die Taxhaul-Malware sich aufspüren lassen soll. Dazu liefert das Unternehmen die Warnung, die Regel zunächst in einer Testumgebung zu bewerten, um keine Fehlalarme auszulösen. Weitere Indizien für eine Infektion (Indicators of Compromise, IOCs) sei die Kontaktierung der Command-and-Control-Server

• azureonlinecloud[.]com
• akamaicontainer[.]com
• journalide[.]org
• msboxonline[.]com

Alternative: Progressive Web App (PWA)

Nach bisherigem Kenntnisstand war die Progressive Web App (PWA) von 3CX nicht infiziert oder infektiös. Daher empfiehlt der Hersteller, diese zu nutzen. In einem weiteren Blog-Beitrag erklärt 3CX zudem, dass es sich bei der derzeit in der Qualitätssicherung befindlichen Aktualisierung um ein umfassendes Sicherheits-Release handele. Web-Passwörter würden ab sofort gehasht und nicht im Klartext abgelegt - zuvor seien sie durch die Notwendigkeit von Administratorrechten vor unbefugten Zugriffen geschützt gewesen, aber als "bad practice" hätten die Entwickler das in CVE-2021-45491 bemängelte Problem nun korrigiert.

3CX schränkt jedoch deutlich ein, dass das nur für die Webclient-Anmeldung gelte. "Aus Gründen der Abwärtskompatibilität werden wir die SIP-Authentifizierungs-ID und das Passwort, die SIP-Trunk- und Gateway-Passwörter oder die Tunnelpasswörter nicht hashen. Wenn sie gehackt werden, können diese Anmeldeinformationen nur verwendet werden, um Zugriff auf Anrufe in der Telefonanlage zu erhalten. Diese Benutzeranmeldeinformationen können nicht dazu verwendet werden, sich bei der PBX anzumelden. In zukünftigen Builds werden wir diese Passwörter auch hashen", schreibt der Hersteller dazu.

Ende März wurde bekannt, dass 3CX Opfer eines Lieferkettenangriffs wurde, in dessen Folge die VoIP-Software des Unternehmens Schadcode verteilte. Tags darauf erhöhte das BSI die Warnstufe auf "3 / Orange", "die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs", während 3CX zunächst abwiegelte und beschwichtigte, dass die überwiegende Mehrzahl der betroffenen Systeme "tatsächlich nie infiziert worden" sei. Vergangene Woche hatte Kaspersky vereinzelte Installationen der Gopuram-Backdoor beobachtet – rund zehn Systeme wurde mit fast chirurgischer Präzision dafür herausgepickt, insbesondere bei Unternehmen aus der Krypto-Branche.

(dmk)