3CX Telefon Software - schwerwiegende Sicherheitslücke

Question

ACHTUNG AN ALLE BETREIBER DER 3CX SOFTWARE!!!

Wer die MAC OC Software installiert hat - hier wird beim Update auf die neuste Version ein Trojaner einer nordkoreanischen Hackergrupe über die Original Software von 3CX auf die Rechner heruntergeladen und infiltriert die Rechner. Bei einem unsere Kunden sind bereits 80% der Rechner befallen.

Wir haben aktuell alle 3CX Apps vollständig deinstalliert, alle MAC OS Patches eingespielt und Virenscanner mehrfach (!) - auch Neustarts notwendig - über die Installationen laufen lassen. Die Untersuchung läuft am 31.03.20.23 gerade weltweit an.

Mit einer Neuinstallation warten wir, bis Reponse Teams, die den Vorfall untersuchen, weitere Informationen vorliegen haben.

https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/

https://www.3cx.com/blog/news/desktopapp-security-alert/

https://www.cisa.gov/news-events/alerts/2023/03/30/supply-chain-attack-against-3cxdesktopapp

Answer 1

Vielen Dank an den tomedo Support, um die Kunden zu informieren.

Nach gut 38 Stunden Analyse haben wir folgendes Lage-/Schadensbild herausgefunden und wollen hiermit anderen betroffenen 3CX Anwendern helfen, eine Orientierung zu finden, die kein Systemhaus zur Hand haben:

1. Der Trojaner wurde per automatischen Update über die 3CX Serverinstallationen auf die entsprechenden Clients geladen.
2. Betroffen sind die 3CX Telefon Apps, die auf den lokalen Clients installiert sind (mehrere Versionen geistern aktuell herum). Update: (Windows versions: 18.12.407 & 18.12.416 and Mac versions: 18.11.1213, 18.12.402, 18.12.407 & 18.12.416.
3. 3CX empfiehlt dringend die DE-INSTALLATION aller 3CX Apps auf MAC OS und Windows, da nicht sichergestellt ist, welche Versionen und seit wann vom Trojaner befallen sind.
4. Der Angriff erfolgt über den automatischen Download (s. Punkt 1). Der Trojaner war im Originalsoftwarepaket von 3CX enthalten. Das Softwarepaket hat das Sicherheitszertifkat des Herstellers enthalten und installierte sich so einwandfrei.
5. Die App mit dem Trojaner läuft/lief einwandfrei, obwohl der Trojaner in einer dll-Datei enthalten war. Das ist ungewöhnlich. Sicherheitsexperten befürchten, dass die Hacker eventuell den Software-Quellcode des Herstellers erbeuten konnten. Was weitere Folgen hätte, da alle Passwörter auslesbar wären, da 3CX diese bislang nicht verschlüsselt ablegt. Das wäre das volle Fiasko - ist aber bisher nicht bestätigt. 3CX nutzt das Electron Framework (das wohl in Teilen auch zollsoft für tomedo verwendet). Auch hierüber ist ein Angriff möglich, die Analysen laufen hierzu weltweit auf Hochtouren.
6. Wir konnten bei unserem Kunden Datenverkehr zu folgenden 3 FQDNs festellen, da wir dies aus dem Netzwerkprotokoll auslesen konnten (dazu müssen Sie entsprechende Hard- und Software installiert haben):

   - visualstudiofactory.com

   - azuredeploystore.com

   - msedgepackageinfo.com

   
   Die Server antworten bislang noch, so dass hier eventuell weiter von einer Kontaktaufnahme des Trojaners ausgegangen werden muss. Die URL's decken sich mit den forenischen Analysen der Sicherheitsanbieter:

   	- 'akamaicontainer.com' - 'akamaitechcloudservices.com'
   	- 'azuredeploystore.com'
   	- 'azureonlinecloud.com'
   	- 'azureonlinestorage.com'
   	- 'dunamistrd.com'
   	- 'glcloudservice.com'
   	- 'journalide.org'
   	- 'msedgepackageinfo.com'
   	- 'msedgeupdate.net'
   	- 'msstorageazure.com'
   	- 'msstorageboxes.com'
   	- 'officeaddons.com'
   	- 'officestoragebox.com'
   	- 'pbxcloudeservices.com'
   	- 'pbxphonenetwork.com'
   	- 'pbxsources.com'
   	- 'qwepoi123098.com'
   	- 'sbmsa.wiki'
   	- 'sourceslabs.com'
   	- 'visualstudiofactory.com'
   	- 'zacharryblogs.com'

   
   So lange Sie keine Sicherheit haben, dass Ihre Clients und Netzwerk sauber sind, sollte Ihre Firewall den Kontakt zu diesen URL's unterbinden.
   Der Sicherheitsdienstleister NEXTRON hat den Vorfall forenisch bereits untersucht und erste Analysen hierzu online gestellt:
   https://www.nextron-systems.com/2023/03/31/using-thor-lite-to-scan-for-indicators-of-lazarus-activity-related-to-the-3cx-compromise/
   Der Softwarehersteller 3CX hat die Sicherheitsfirma Mandiant (Google Tochter) mit der forensischen Analyse des Vorfalls beauftragt. Hier warten wir auf Ergebnisse, um den Umfang des Angriffs kennenzulernen.
    
7. Was kann man machen?
   
   - Löschen Sie umgehend alle 3CX Installationen von Ihren Rechnern.
   - Starten Sie Ihren Rechner neu
   - Starten Sie danach einen vollständigen Virenlauf Ihres Virenschutzprogramms mit allerhöchsten Suchkritieren (kann man i.d.R. einstellen)
   - 3CX hat von der Analysefirma NEXTRON einen forensichen Scanner mit Spezializenz erhalten, um weitere Probleme zu erkennen. Die Lizenz kann hier heruntergeladen werden (dazu muss man Forenmitglied von 3CX sein:
   https://www.3cx.com/community/threads/forensic-scanner-nextron-thor.120005/
   
   In dem Downloadpaket befindet sich leider nur der Windows Scanner, das für die tomedo Anwender auf MAC OS nutzlos ist - aber das benötige Spezial-Lizenzfile enthält.
   Laden Sie kostenlos die MAC OS Version herunter:
   https://www.nextron-systems.com/thor-lite/
   Dazu ganz unten auf der Webseite "Download THOR Lite" drücken und registrieren!
   Dann laden Sie nach mehreren Emails die MAC OS Installationsdatei auf Ihren betroffenen Client und kopieren aus dem entzippten Ordner "thor10.7lite-win-pack" folgende Dateien aus der vom 3CX Forum heruntergeladen Version:
   "custom-signatures"
   "3cx.lic"
   --> Kopieren Sie diese in Ihren MAC OS Ordner "thor10.7lite-macosx-pack", den Sie von NEXTRON direkt heruntergeladen haben. Folgen Sie den Hilfeinformationen, die Sie im Downloadordner finden.
   Es ist eine Startup-Routine enthalten, die das Terminalprogramm aufruft. Alles weitere steht auch im o.g. 3CX Forums Artikel. Man kann bei der Analyse schnell den Überblick verlieren. Ein Fachmann sollte dann hinzugezogen werden. Der tomedo Support wird hier wenig helfen können, da diese nur die Schnittstelle zu 3CX anbieten.
   
   Der forensische Scanner von NEXTRON bei der Sucharbeit:
   
    
8. Unsere forensischen Analysen laufen aktuell. Wir haben viele betroffene Rechner. Zur Zeit sind wir bei ca. 4 Stunden pro Rechner, bis wir einen einzelnen Rechner analysiert und desinifiziert haben. Aber wir sind noch nicht durch - das zieht sich leider sehr lange hin, da komplex und wir mit einigen Unbekannten zu tun haben. obwohl die Grundstruktur des Trojaners auf das Jahr 2009 zurückgeht.
   
   Da das alles während der Sprechstundenzeit kaum geht, empfehlen wir umgehend zu handeln und das Wochenende und die Nachtzeiten zu nutzen.
   
   Man muss zusammenfassend sagen: es handelt sich um eine sehr schwere Sicherheitsdatenpanne.

Comments

Der Trojaner nistet sich in der Regel in diesem Verzeichnis auf einer MAC OS Installation ab und kann weiteren Schadcode nachladen.

/Users/mac-os-username/Library/Caches/com.electron.3cx-desktop-app.ShipIt/update.x3A4zYK/3CX Desktop App.app/Contents/Frameworks/Electron Framework.framework/Versions/A/Libraries/libffmpeg.dylib

---

Hallo,

erstmal vielen Dank für die Anleitungen und das Teilen der Information.

Kurze Frage: Wenn 3cx deinstalliert ist, der Virenscanner nix findet und auch THOR lite ohne Warnung durchläuft, sollte alles okay sein, oder?

 

lg

Sebastian Mai

---

Hallo in die Runde,

Nutze die Virenscannerlösung von tomedo (ESET).

Erkennt ESET den Trojaner? @Zollsoft?

Mit freundlichen Grüßen

Carsten Wach

---

Hallo,

wir haben GData, da wurde gestern der 3cx Client erkannt. Der war allerdings schon entfernt und lag aber noch im Papierkorb.

 

Zu ESET kann ich leider nix sagen, aber ich glaube die verschiedenen Scanner unterscheiden sich da kaum...

---

Fast alle Sicherheitsanbieter haben die Datenbanken inzwischen upgedatet und sollten nun den Trojaner erkennen (das bedeutet: aktualisieren Sie Ihre Virenscanner vor einem oder mehreren Suchläufen).

ET MALWARE 3CX Supply Chain Attack (2023-03-29)

Noch ist nicht ganz klar, ob der Trojaner weitere Malware nachgeladen hat und wohin diese Daten eventuell geschrieben worden sind. Das wird gerade unter Hochdruck untersucht. Wie oben bereits geschrieben, hatte der Trojaner in unserer betreuten Praxis bereits zu 3 externen Servern Kontakt aufgenommen. Da der Trojaner komplex ist, müssen auch wir auf Hilfestellung durch Sicherheitsspezialisten warten.

Wir gehen im Moment davon aus, dass nach Deinstallation, mehreren Sicherheits-Neustarten, Virenscanner und THOR lite Prüfungen die Rechner sauber sind, wenn keine Meldung kommt. Wir geben Sie auf jeden Fall dem Kunden zum Arbeiten frei. Allerdings haben wir die Firewall sehr restriktiv eingestellt und überwachen im Moment jeglichen Datenverkehr 24/7. Bei Auffälligkeiten muss unser Network Operation Center erst manuell den Datenverkehr freigeben. Wir wissen, dass die Standard Praxis diese Möglichkeiten nicht haben wird bzw. leisten kann. Wir können nur proaktiv hier im Forum informieren, wenn uns etwas auffällt.

Entscheidend wird sein, was Mandiant bei 3CX jetzt herausfinden wird. Erst nach Freigabe durch Mandiant wird 3CX neu kompilierte Desktop Versionen anbieten. Aktuell sind sowieso alle Download Zertifikate gesperrt worden. Sie sollten z.B. im Browser einen Warnhinweis erhalten.

Unsere Praxis nutzt intensiv das Anrufpanel zur Identifikation der Anrufer. Ohne die App funktioniert das aktuell nicht.
Ein Workaround für ankommende Anrufer könnte die Action URI sein, wenn Sie ein VOIP-Desktop Telefon neben Ihrem Arbeitsplatz stehen haben. Dann könnten Sie die Anrufernummer an tomedo senden.

Herr Stenger hat dies in diesem Artikel beschrieben:
https://forum.tomedo.de/index.php/48774/3cx-telefonanlage-integration-version-18-u3?show=48774#q48774

Der CEO von 3CX hat sich zu dem Vorfall geäußert:
https://www.3cx.com/blog/news/security-incident-updates/

Trend Micro hat die Attacke bereits sehr gut analysiert:
https://www.trendmicro.com/it_it/research/23/c/information-on-attacks-involving-3cx-desktop-app.html

---

Als die ersten Meldungen von 3CX User bekannt wurden, scheint ESET den Trojaner noch nicht erkannt zu haben.

https://www.3cx.de/forum/threads/kompromittierte-3cx-desktop-app.114759/

Inzwischen könnte/sollte sich das geändert haben. Eventuell bei ESET nachfragen.

---

Es gibt eine genauere Analyse zu den verseuchten MAC OS Apps (von einem User im 3CX Forumm verlinkt):

https://twitter.com/i/web/status/1641294247877021696

Man sieht darin sehr schön, dass der Trojaner Daten zum Betriebssystem, Namen usw. nach außen übermittelt hat und dann die Möglichkeit hatte, weiteren Schadcode nachzuladen. Bei der in Twitter gezeigten Domain ist allerdings die URL bereits unschädlich gemacht, so dass die Analyse des weiteren Schadcodes nicht geprüft werden konnte. Wer den Trojaner bereits länger eingespielt hatte, muss ein Nachladen weiterer Malware befürchten.

---

Hallo ins Forum,

Nach Rücksprache mit dem ESET Support wird die 3CX Malware erkannt.

Mit freundlichen Grüßen, Carsten Wach

---

Hallo nochmal,

 

Das Thor-lite-util was den update Prozess anstößt wird unter Windows ja mit dem Nachsatz "Upgrade" gestartet. Wenn man beim Mac im Terminal in den Ordner von Thor navigiert und dann "Thor-lite-util Upgrade" eingibt kann der Befehlt nicht verarbeitet werden. Tipps?

 

Bzgl. Polizei: Ein Fund wäre ja aber nicht die installierte App sondern nur ein aktiver Trojaner oder?

---

Hallo,

 

Noch ein kleiner Nachtrag:

1) um das Update durchzuführen, muss man im Terminal in den Pfad navigieren in dem Thor liegt (über cd [Order] und dort dann "./Thor-Lite-util Upgrade" eingeben

2) nach dem Update startet man den Scan. Damit der Report geschrieben werden kann, muss man Terminal "Festplattenvollzugriff" geben.

Answer 2

Vielen Dank für die Information von Tomedo und die detaillierte Analyse von Herrn Mildner.

Bei uns waren glücklicherweise nur wenige Rechner betroffen. Er war jedoch zu beobachten, dass es nicht reicht, die 3CX-Desktop-App aus dem "Programme"-Verzeichnis zu löschen, sondern auch die beiden Ordner:

"com.electron.3cx-desktop-app.ShipIt" und "com.electron.3cx-desktop-app"

im Ordner

"/System/Volumes/Data/Users/praxis/Library/Caches/"

Viele Grüße

Sebastian Pelz

Comments

Ja das ist korrekt - die beiden Verzeichnisse zur Sicherheit manuell löschen - im Verzeichnis:

/Users/IHR-USERNAME/Library/Caches/

---

Bitte melden Sie Trojaner Funde Ihren lokalen Polizeidienststellen oder der in Ihrem Bundesland zuständigen Polizeibehörde für Cyberkriminalität.

Wir haben den Vorgang bei den bayerischen Behörden gemeldet, die bereits aktiv geworden sind. Je mehr sich melden, desto besser können die Ermittler eventuell verfolgen, was passiert und ob eventuell Daten abgeflossen sind.

---

Das Bundesamt für Informationstechnik hat eine Warnung "orange" veröffentlicht:

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-214778-1032.html

Es gibt Erkenntnisse aus Sicherheitsforen, dass der THOR Scanner nachgeladenen Schadcode eventuell nicht erkennt:
https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/

Weitere Informationen zum Angriff finden Sie hier:
https://www.huntress.com/blog/3cx-voip-software-compromise-supply-chain-threats?utm_campaign=CY23-Q1-RR-3CX&utm_source=ppc&utm_medium=google&utm_term=3cx&utm_campaign=CY23-Q1-RR-3CX&utm_source=adwords&utm_medium=ppc&hsa_acc=7071168637&hsa_cam=19901870073&hsa_grp=147016429905&hsa_ad=652925824712&hsa_src=g&hsa_tgt=kwd-304614758138&hsa_kw=3cx&hsa_mt=b&hsa_net=adwords&hsa_ver=3&gclid=EAIaIQobChMIh86O0c6P_gIVywOLCh2PLAnGEAAYASAAEgJ_R_D_BwE

Die Attacke überschreitet inzwischen die Kompetenz von Systemdienstleistern. Wir haben uns die Sicherheitsbehörden und Spezialdienstleister ins Haus geholt. Wenn Sie nur den Anschein haben, dass weitere Schadsoftware nachgeladen worden ist, sollten Sie schnell handeln.

---

Hier die aktuelle Liste der Virenscanner, die den Angriff erkennen:

https://www.virustotal.com/gui/file/6c121f2b2efa6592c2c22b29218157ec9e63f385e7a1d7425857d603ddef8c59/detection/

---

das sind ja leider noch bemerkenswert wenige ....

---

Ich teile kurz eine Information mit Ihnen, die ich eigentlich aus rechtlichen Gründen wegen Haftungsfragen nicht mehr mitteilen dürfte. Aber es gilt dringend Schaden abzuwenden. Unsere betreuende Praxis wurde nun von Datenforensikern untersucht. Alleine die Tatsache, dass der Trojaner es auf die Systeme geschafft hat und medizinische Daten vorhanden sind, hat zur der Entscheidung geführt, dass die Serverhardware komplett getauscht werden muss. Aktuell können die Clients alle platt gemacht werden und müssen von Betriebssystemebene komplett neu aufgesetzt werden. Nach aktuellem Stand ist kein Rootkit im Spiel, der ins Bootverzeichnis und eventuell den Hardwarechip beschreibt (finale forenische Tests stehen noch aus), sonst können wir die gesamte Apple Hardware auf den Sperrmüll werfen. Aber das Ganze wird wie ein Neustart mit tomedo mit allem drum und dran.

Die datenrechtliche Bewertung, der Angreifer (staatlicher Akteur) und die unbekannte Variante der Infektion haben dazu geführt, alles auszutauschen. Wir sind mit zollsoft im Gespräch, da wir das aus dem Stand alleine nicht bewältigen können. Die Praxis hat inzwischen alle Pforten geschlossen. Wir haben nach der Bestätigung durch die Forensik sofort die Hauptdatenleitung nach außen gezogen. Bislang konnte glücklicherweise noch kein Abfluss von Daten festgestellt werden. Wir haben der Forensik inzwischen über 50 GB Logprotokolle übermittelt, die genau nachverfolgen, was in den letzten Tagen und Wochen auf den Systemen passiert ist.

Sollten Sie diesen Trojaner auf Ihrem System haben, rate ich Ihnen dringend ein Blick in Ihre Versicherungsunterlagen und dann eine in Forensik erfahrene IT Firma zu beauftragen. Dazu gehört juristische Beratung zu den Datenschutzfragen, die sich im Anschluss türmen. Es tut mir leid, dass ich diese schlechten Nachrichten Ihnen mitteilen muss.