Weltweit rund 600.000 Kunden und 12 Millionen tägliche Nutzer – mit 3CX hat es einen weiteren, zentralen IT-Lieferanten erwischt: Die digital signierte Softphone-App direkt vom Hersteller enthielt Schadcode, der unter anderem einen sogenannten Infostealer aus dem Internet nachlud. Das BSI erhöht deshalb in seiner Warnung die IT-Bedrohungslage auf "3 / Orange". Das steht für: "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs."

Wie gestern bereits berichtet, gelang es der vermutlich aus Nordkorea gesteuerten Hackergruppe Lazarus, die Software von 3CX mit einem Downloader zu präparieren, der weitere Schad-Software nachlud. Mittlerweile ist bekannt, dass nicht nur die Windows-Versionen 18.12.407 und 18.12.416, sondern auch die MacOS-Version des 3CX Softphone betroffen sind. Wie der Hersteller bestätigt, sind die Mac-Electron-Apps mit den Versionsnummern 18.11.1213, 18.12.402, 18.12.407 & 18.12.416 infiziert.

Wer die infizierten Apps in Betrieb hatte, sollte die betroffenen Systeme unverzüglich von allen Netzen trennen und sich auf die Suche nach möglichen Hinterlassenschaften machen. Der nachgeladene Infostealer liest laut Sentinel unter anderem Informationen aus den Browsern Chrome, Edge, Brave und Firefox aus. Es besteht die Gefahr, dass die Einbrecher diese Informationen nutzten, um weitere Systeme zu kapern. Bei der Suche helfen die am Ende aufgeführten Indicators of Compromise (IoCs), deren Vorhandensein im Netz eine akute Kompromittierung bedeutet. In einem solchen Fall sollte man unbedingt professionelle Hilfe zur Incident Response hinzuziehen.

3CX wiegelt ab

Die Firma 3CX betont in ihrem "Security Alert", dass die Mehrzahl der kontaktierten Domains bereits stillgelegt wurde. Die überwiegende Mehrzahl der betroffenen Systeme sei – obwohl die trojanisierten Dateien vorhanden waren – "tatsächlich nie infiziert worden", heißt es dort sogar beschwichtigend.

Das ist schon eine sehr gewagte These. Überhaupt macht 3CX in dieser Angelegenheit keine gute Figur. Bereits vor einer Woche ab dem 22. März meldeten mehrere Kunden in deren Foren Alarme von Antiviren-Software beim Einsatz von 3CX-Software, ohne dass es eine Reaktion gab. Noch am Mittwoch, den 29. beschwerten sich Kunden über ausbleibende Rückmeldungen des Herstellers. Erst als ab dem 30. März Crowdstrike und SentinelOne Alarm schlugen, kam Bewegung in die Sache.

Dazu passt eine Diskussion im Forum von heise Security Pro (nur für Mitglieder), in der Sicherheitsverantwortliche die Tatsache diskutieren, dass 3CX Passwörter immer noch im Klartext speichert. Das ist seit über einem Jahr bekannt und entspricht definitiv nicht dem von der DSGVO geforderten Stand der Technik. Doch 3CX hat daran seither offenbar nichts geändert. Firmen, die diese Software trotzdem einsetzen, riskieren heftige Bußgelder, erklärt Heise-Justiziar Jörg Heidrich den Forenmitgliedern.

Indicators of Compromise

Kontaktierte Domains:

akamaicontainer[.]com

akamaitechcloudservices[.]com

azuredeploystore[.]com

azureonlinecloud[.]com

azureonlinestorage[.]com

dunamistrd[.]com

glcloudservice[.]com

journalide[.]org

msedgepackageinfo[.]com

msstorageazure[.]com

msstorageboxes[.]com

officeaddons[.]com

officestoragebox[.]com

pbxcloudeservices[.]com

pbxphonenetwork[.]com

pbxsources[.]com

qwepoi123098[.]com

sbmsa[.]wiki

sourceslabs[.]com

visualstudiofactory[.]com

zacharryblogs[.]com

github[.]com/IconStorages/images

SHA-1-Hashes bösartiger Files:

20d554a80d759c50d6537dd7097fed84dd258b3e | d3dcompiler_47_v10.0.20348.1.dll

| d3dcompiler_47_v10.0.20348.1.dll bf939c9c261d27ee7bb92325cc588624fca75429 | ffmpeg.dll

| ffmpeg.dll cad1120d91b812acafef7175f949dd1b09c6c21a | Infostealer

Weitere IOCs stellt etwa Volexity auf GitHub bereit.

(ju)