{"id":29961,"date":"2023-04-04T09:14:49","date_gmt":"2023-04-04T07:14:49","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29961"},"modified":"2023-04-05T10:13:10","modified_gmt":"2023-04-05T08:13:10","slug":"supply-chain-attack-on-3cx","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/supply-chain-attack-on-3cx\/29961\/","title":{"rendered":"Supply-Chain-Angriff auf 3CX-Kunden"},"content":{"rendered":"<p>Verschiedene Medien <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack\/\" target=\"_blank\" rel=\"noopener nofollow\">berichten<\/a> von einem gro\u00df angelegten Supply-Chain-Angriff, der auf die Nutzer von <a href=\"https:\/\/en.wikipedia.org\/wiki\/3CX_Phone_System\" target=\"_blank\" rel=\"noopener nofollow\">3CX VoIP-Telefoniesystemen<\/a> abzielt. Unbekannte Angreifer haben es geschafft, 3CX-VoIP-Anwendungen sowohl f\u00fcr Windows als auch f\u00fcr macOS zu infizieren. Die Cyberkriminellen greifen deren Nutzer nun \u00fcber eine mit einem geltenden 3CX-Zertifikat signierte Anwendung an. Und die Liste dieser Nutzer hat es in sich: Sie umfasst mehr als 600.000 Unternehmen, darunter bekannte Marken aus der ganzen Welt (American Express, BMW, Air France, Toyota, IKEA). Eine Reihe von Forschern hat diesen b\u00f6sartigen Angriff SmoothOperator genannt.<\/p>\n<p>Die Trojaner sind offenbar in allen Versionen der Software versteckt, die nach dem 3. M\u00e4rz ver\u00f6ffentlicht wurden, d. h. in den Builds 18.12.407 und 18.12.416 f\u00fcr Windows und 18.11.1213 und neuer f\u00fcr macOS. Nach Angaben von Vertretern von 3CX gelangte der Schadcode durch eine nicht benannte trojanisierte Open-Source-Komponente, die vom Entwicklerteam genutzt wurde, in das Programm.<\/p>\n<h2>Angriff \u00fcber trojanisierte 3CX-Software<\/h2>\n<p>Mit Verweis auf Forscher verschiedener Unternehmen <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack\/\" target=\"_blank\" rel=\"noopener nofollow\">beschreibt<\/a> BleepingComputer den Angriffsmechanismus \u00fcber einen trojanisierten Windows-Client wie folgt:<\/p>\n<ul>\n<li>Der Benutzer l\u00e4dt entweder ein Installationspaket von der offiziellen Website des Unternehmens herunter und f\u00fchrt es aus, oder aber er erh\u00e4lt ein Update f\u00fcr ein bereits installiertes Programm;<\/li>\n<li>Nach der Installation erstellt das trojanisierte Programm mehrere sch\u00e4dliche Bibliotheken, die f\u00fcr die n\u00e4chste Angriffsphase eingesetzt werden;<\/li>\n<li>Die Malware l\u00e4dt dann .ico-Dateien herunter, die auf GitHub gehostet werden und zus\u00e4tzliche Datenleitungen enthalten;<\/li>\n<li>Diese werden dann zum Download der eigentlichen sch\u00e4dlichen Nutzlast verwendet, die dann zum Angriff auf die Endbenutzer dient.<\/li>\n<\/ul>\n<p>Der Mechanismus f\u00fcr den Angriff auf macOS-Benutzer ist etwas anders. Eine <a href=\"https:\/\/objective-see.org\/blog\/blog_0x73.html\" target=\"_blank\" rel=\"noopener nofollow\">detaillierte Beschreibung<\/a> finden Sie auf der Website der gemeinn\u00fctzigen Stiftung Objective-See.<\/p>\n<h2>Worauf sind die Angreifer aus?<\/h2>\n<p>Die heruntergeladene Malware kann Informationen \u00fcber das System sammeln sowie Daten und Anmeldeinformationen aus den Benutzerprofilen von Chrome, Edge, Brave und Firefox-Browsern stehlen und speichern. Au\u00dferdem ist es den Angreifern m\u00f6glich, eine interaktive Befehlsshell einzurichten, mit der sie theoretisch fast alles mit dem Computer des Opfers anstellen k\u00f6nnen.<\/p>\n<h2>Warum ist dieser Angriff so gef\u00e4hrlich?<\/h2>\n<p>Die trojanisierte Programmversion ist mit einem legitimen Zertifikat von 3CX Ltd. signiert, das von Sectigo ausgestellt wurde \u2013 demselben Zertifikat, das in fr\u00fcheren Versionen des 3CX-Programms verwendet wurde.<\/p>\n<p>Nach Angaben von Objective-See ist die macOS-Version der Malware dar\u00fcber hinaus nicht nur mit einem g\u00fcltigen Zertifikat signiert, sondern auch von Apple zertifiziert! Das bedeutet, dass die Anwendung auf aktuellen Versionen von macOS ausgef\u00fchrt werden darf.<\/p>\n<h2>So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n<p>Die Anwendungsentwickler empfehlen dringend, trojanisierte Versionen des Programms \u00fcber den VoIP-Webclient zu deinstallieren, bis ein entsprechendes Update ver\u00f6ffentlicht wird.<\/p>\n<p>Des Weiteren ist es sinnvoll, eine gr\u00fcndliche Vorfallsuntersuchung durchzuf\u00fchren, um sicherzustellen, dass die Angreifer keine Zeit hatten, die Computer Ihres Unternehmens zu manipulieren. Zur Kontrolle des Geschehens im Unternehmensnetzwerk und zur rechtzeitigen Erkennung sch\u00e4dlicher Aktivit\u00e4ten empfehlen wir grunds\u00e4tzlich den Einsatz von Diensten der <a href=\"https:\/\/www.kaspersky.de\/enterprise-security\/managed-detection-and-response?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">MDR-Klasse (Managed Detection and Response)<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\">\n","protected":false},"excerpt":{"rendered":"<p>Cyberkriminelle haben es auf Nutzer der 3CX VoIP-Telefonie-Software abgesehen und greifen diese \u00fcber trojanisierte Anwendungen an.<\/p>\n","protected":false},"author":2698,"featured_media":29962,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,1848,3107,3108],"tags":[3900,903,2967,257,33],"class_list":{"0":"post-29961","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-lieferkette","12":"tag-macos","13":"tag-supply-chain","14":"tag-trojaner","15":"tag-windows"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/supply-chain-attack-on-3cx\/29961\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/supply-chain-attack-on-3cx\/25459\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/supply-chain-attack-on-3cx\/20892\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/supply-chain-attack-on-3cx\/28063\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/supply-chain-attack-on-3cx\/25758\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/supply-chain-attack-on-3cx\/26141\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/supply-chain-attack-on-3cx\/28597\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/supply-chain-attack-on-3cx\/34955\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/supply-chain-attack-on-3cx\/47698\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/supply-chain-attack-on-3cx\/20381\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/supply-chain-attack-on-3cx\/21004\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/supply-chain-attack-on-3cx\/33596\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/supply-chain-attack-on-3cx\/26061\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/supply-chain-attack-on-3cx\/31770\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/supply-chain-attack-on-3cx\/31457\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/supply-chain\/","name":"Supply Chain"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29961","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2698"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29961"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29961\/revisions"}],"predecessor-version":[{"id":29966,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29961\/revisions\/29966"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29962"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29961"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29961"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29961"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}