3CX

Die VOIP/PBX-Software von 3CX wird von Unternehmen in 190 Ländern genutzt. Es ist offenbar von einem Supply-Chain-Angriff betroffen.

"Wer bereits eine der oben genannten Versionen (18.12.407 und 18.12.416 Anmerkung der Red.) genutzt hat, sollte von einer Kompromittierung der Systeme ausgehen, da selbst nach einem Update der 3CX-Desktop-App auf die neueste Version eventuelle Hintertüren weiterhin bestehen." [G Data](https://www.channelpartner.de/company-scout/g-data-software-ag,90) hat sich das Sicherheitsproblem bereits angesehen. Der Stealer sammelt Systeminformationen sowie Daten und kopiert Anmeldeinformationen von verschiedenen Webbrowsern", [teilt das Unternehmen mit](https://presse.gdata.de/News_Detail.aspx?id=175780&menueid=28959&l=deutsch). Die bisher am häufigsten beobachtete Aktivität nach Ausnutzung der Sicherheitslücke ist das Aktivieren einer interaktiven Befehlszeilenoberfläche (Command Shell)", teilt Sophos mit. Lotem Finkelstein, Director of Threat Intelligence & Research bei Check Point Software, kommentiert: "Dies ist ein klassischer Angriff auf die Lieferkette, der darauf abzielt, Vertrauensbeziehungen zwischen einem Unternehmen und externen Parteien auszunutzen, einschließlich Partnerschaften mit Anbietern oder der Verwendung von Software von Drittanbietern, auf die die meisten Unternehmen in irgendeiner Weise angewiesen sind." "Der Vorfall erinnert uns daran, wie wichtig es ist, dass wir unsere Geschäftspartner genau unter die Lupe nehmen. "Wir untersuchen die Angelegenheit immer noch, um im Laufe des Tages (30.3.2023 - Anmerkung der Red.) eine ausführlichere Antwort geben zu können." "Den Angreifern ist es gelungen, die Anwendung zu manipulieren, um ein Installationsprogramm hinzuzufügen, das DLL-Sideloading verwendet", erklärt Mat Gangwer, Vice President Managed Threat Response bei Sophos, das an der Identifikation des Problems beteiligt war, zu dem Fall. Bei der aktuellen Attacke handelt es sich um eine digital signierte Version des Softphone-Desktop-Clients für Windows, die einen bösartigen Payload enthält. Dies wird die Dinge um mindestens 24 Stunden verzögern, also haben Sie bitte etwas Geduld mit uns", sagt Jourdan. Betroffen sind demnach die Versionen 18.12.407 und 18.12.416 der App. Antivirus-Programme erkennen die Datei 3CXDesktopApp.exe als bösartig und haben sie in vielen Fällen deinstalliert.

3CX ist eine Software-basierte IP-Telefonanlage, die Unternehmen eine Kommunikationslösung bietet. Mit 3CX können Unternehmen Anrufe über ...

[derweil zur PWA-App greifen](https://www.3cx.com/blog/releases/web-client-pwa/). Auch die Sicherheitsexperten von Sophos haben detailliert etwas dazu geschrieben, [falls ihr da einmal nachschauen wollt](https://news.sophos.com/de-de/2023/03/30/telefonsystem-3cx-weltweit-fuer-dll-sideloading-angriff-genutzt/amp/). [Transparenz](https://stadt-bremerhaven.de/transparenz/): In diesem Artikel sind Partnerlinks enthalten. Sprich: Da ist Malware drin und die landete so bei Kunden. Anti-Virus-Anbieter haben die ausführbare Datei 3CXDesktopApp.exe als schädlich markiert und in vielen Fällen deinstalliert. Mit 3CX können Unternehmen Anrufe über das Internet tätigen und empfangen, ohne dass eine herkömmliche Telefonleitung erforderlich ist.

Fondé à Chypre en 2005 comme fournisseur de technologie IP PBX, 3CX compte plus de 12 millions d'utilisateurs finaux chez environ 600 000 clients.

Les grandes entreprises exposées dans le cadre de cette campagne sauront probablement comment réagir. [apparue](https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situational_awareness_crowdstrike/) sur le canal Reddit de CrowdStrike dans l’après-midi de ce 29 mars 2023. Mais voilà, les communications avec l’infrastructure C2 ne survient pas tout de suite : l’implant est dormant durant 7 jours avant de commencer à communiquer. Certains EDR commençait d’ailleurs déjà à relever des anomalies à cette date, qu’il s’agisse de SentinelOne ou de Palo Alto Cortex, voire Eset, Sophos, SonicWall, et bien sûr CrowdStrike. Les utilisateurs des clients lourds de 3CX sont menacés par une cyberattaque sur sa chaîne d’approvisionnement logiciel attribuée à la Corée du Nord. L’éditeur indique avoir « observé une activité malveillante inattendue émanant d’un binaire légitimie, signé, 3CXDesktopApp – une application softphone de 3CX ».

Die 3CX Desktop App ist eine VoIP-Software, die es Benutzern ermöglicht, Telefonanrufe über das Internet zu tätigen und zu empfangen. Die App ist weit ...

Die App ist weit verbreitet und wird von Unternehmen und Einzelpersonen genutzt. Die Analyse der verdächtigen Dateien ergab, dass es sich wohl um einen Keylogger handelt, die es einem Angreifer ermöglichen, Tastatureingaben aufzuzeichnen und sensible Benutzerdaten wie Passwörter oder Bankdaten abzufangen. März 2023 wurde ein Sicherheitsvorfall bei der 3CX Desktop App in den Versionen 18.12.407 und 18.12.416 bekannt.

30 mars 2023 Ravie LakshmananChaîne d'approvisionnement / Sécurité des logiciels.

“Malheureusement, cela s’est produit parce qu’une bibliothèque en amont que nous utilisons a été infectée”, Galea [a dit](https://www.3cx.com/community/threads/crowdstrike-endpoint-security-detection-re-3cx-desktop-app.119934/post-558898)sans donner plus de détails. [Technique de chargement latéral de DLL](https://attack.mitre.org/techniques/T1574/002/) pour charger une DLL malveillante (ffmpeg.dll) conçue pour récupérer une charge utile de fichier icône (ICO). [ajoutée](https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/). Êtes-vous conscient des risques associés à l’accès d’applications tierces aux applications SaaS de votre entreprise ? Le référentiel GitHub [héberger le fichier](https://github.com/IconStorages/images) a depuis été [démonté](https://twitter.com/_JohnHammond/status/1641270384023719937). [a dit](https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/).

edrohungsakteure entwickeln ihre Angriffstechniken ständig weiter, wobei sie sich zunehmend weniger auf die Verwendung maßgeschneiderter Malware stütz...

Check Point-Nutzer können durchatmen: Alle Software-Schwachstellen und Angriffssignaturen, die von Check Point Research gefunden oder gesichtet werden, wie diese Trojaner-Version der ursprünglichen 3CXDesktopApp, werden sofort an ThreatCloud geleitet, das Gehirn hinter allen Check Point-Produkten, welches die entsprechenden Schutzmaßnahmen über alle Check-Point-Produkte hinweg verbreitet. Mit Blick auf die Zukunft ist es wichtig, dass wir einem konsolidierten, umfassenden und kollaborativen Sicherheitsansatz den Vorzug geben, der unsere Netzwerke vor der sich stetig verändernden Cyberlandschaft schützt.“ Sie nutzen integrierte Betriebssystemfunktionen, die bereits auf dem Rechner der Zielperson installiert sind, und machen sich gängige IT-Verwaltungstools zunutze, die bei einer Entdeckung weniger Verdacht erregen. Lotem Finkelstein, Director of Threat Intelligence & Research bei Check Point, über die aktuelle Bedrohung: „Dies ist ein klassischer Angriff auf die Lieferkette, der darauf abzielt, Vertrauensbeziehungen zwischen einem Unternehmen und externen Parteien auszunutzen, einschließlich Partnerschaften mit Anbietern oder der Verwendung von Software von Drittanbietern, auf die die meisten Unternehmen in irgendeiner Weise angewiesen sind. Bedrohungsakteure entwickeln ihre Angriffstechniken ständig weiter, wobei sie sich zunehmend weniger auf die Verwendung maßgeschneiderter Malware stützen und stattdessen auf nicht-signaturbasierte Tools zurückgreifen. Niemand hat damit gerechnet, dass die Anwendung mit einem bösartigen Implantat ausgestattet würde.

Der VoIP-Desktop-Client des Herstellers 3CX ist Opfer einer Cyber-Attacke geworden. Berichten zufolge wurde ein Trojaner in der Software versteckt.

Er erstellt eine Backdoor im System und kann auf diese Weise gespeicherte Anmeldeinfos von verschiedenen Browsern abfangen. Das Update allein würde nicht ausreichen, um den Trojaner zu entfernen. [Windows](https://www.nau.ch/news/windows) Electron App kompiliert haben.»