Quelle: Threat Intel Team von CrowdStrike (Englisch)
Eine digital signierte und trojanisierte Version des 3CX Voice Over Internet Protocol (VOIP)-Desktop-Clients wird Berichten zufolge verwendet, um die Kunden des Unternehmens in einer laufenden Lieferkettenattacke anzugreifen.
3CX ist ein Unternehmen, das VoIP-IPBX-Software entwickelt und dessen 3CX-Telefonsystem von mehr als 600.000 Unternehmen weltweit eingesetzt wird und täglich über 12 Millionen Nutzer hat.
Die Kundenliste des Unternehmens umfasst eine lange Liste hochrangiger Unternehmen und Organisationen wie American Express, Coca-Cola, McDonald's, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA und HollidayInn.
Laut den Warnungen der Sicherheitsforscher von Sophos und CrowdStrike zielen die Angreifer sowohl auf Windows- als auch auf macOS-Nutzer der kompromittierten 3CX-Softphone-App ab.
"Die böswilligen Aktivitäten umfassen das Beaconing der von den Angreifern kontrollierten Infrastruktur, die Bereitstellung von Nutzdaten in der zweiten Stufe und in einigen wenigen Fällen auch Aktivitäten über die Tastatur", so das Threat Intel Team von CrowdStrike.
"Die häufigste Aktivität, die nach der Ausnutzung beobachtet wurde, ist das Starten einer interaktiven Befehlsshell", fügte Sophos in einem Advisory hinzu, das über seinen Managed Detection and Response Service veröffentlicht wurde.
CrowdStrike vermutet, dass eine vom nordkoreanischen Staat unterstützte Hackergruppe, die als Labyrinth Collima bekannt ist, hinter dem Angriff steckt, aber die Sophos-Forscher sagen, dass sie diese Zuordnung nicht mit hoher Sicherheit verifizieren können.
Es ist bekannt, dass sich die Aktivitäten von Labyrinth Collima mit denen anderer Bedrohungsakteure überschneiden, die von Kaspersky als Lazarus Group, von Dragos als Covellite, von Mandiant als UNC4034, von Microsoft als Zinc und von Secureworks als Nickel Academy verfolgt werden.
SmoothOperator-Software: Angriff über die Lieferkette
SentinelOne und Sophos haben in Berichten, die am Donnerstagabend veröffentlicht wurden, außerdem aufgedeckt, dass die trojanisierte 3CX-Desktop-App in einem Supply-Chain-Angriff heruntergeladen wird.
Dieser von SentinelOne als "SmoothOperator" bezeichnete Supply-Chain-Angriff wird gestartet, wenn das MSI-Installationsprogramm von der 3CX-Website heruntergeladen wird oder ein Update auf eine bereits installierte Desktop-Anwendung aufgespielt wird.
Wenn das MSI oder Update installiert wird, extrahiert es die schädlichen Dateien ffmpeg.dll VirusTotal und d3dcompiler_47.dll VirusTotal DLL-Dateien, die zur Durchführung der nächsten Angriffsphase verwendet werden.
Während Sophos feststellt, dass die ausführbare Datei 3CXDesktopApp.exe nicht bösartig ist, wird die bösartige ffmpeg.dll DLL sideloaded und verwendet, um eine verschlüsselte Nutzlast aus d3dcompiler_47.dll zu extrahieren und auszuführen.
Die Malware der ersten Stufe verwendet diese Base64-Zeichenfolgen, um eine endgültige Nutzlast auf die kompromittierten Geräte herunterzuladen, eine bisher unbekannte Malware, die Informationen stiehlt und als DLL heruntergeladen wird.
Diese neue Malware ist in der Lage, Systeminformationen zu sammeln und Daten und gespeicherte Anmeldeinformationen von Chrome-, Edge-, Brave- und Firefox-Benutzerprofilen zu stehlen.
"Zum jetzigen Zeitpunkt können wir nicht bestätigen, dass das Mac-Installationsprogramm in ähnlicher Weise trojanisiert ist. Unsere laufende Untersuchung umfasst weitere Anwendungen wie die Chrome-Erweiterung, die ebenfalls für Angriffe genutzt werden könnten", so SentinelOne.
"Der Bedrohungsakteur hat eine umfangreiche Infrastruktur registriert, die bereits im Februar 2022 begann, aber wir sehen noch keine offensichtlichen Verbindungen zu bestehenden Bedrohungsclustern."