Hackers compromitteren 3CX desktop app via supply chain aanval

De 3CX Desktop-app is een applicatie van het type Voice over Internet Protocol (VoIP) die beschikbaar is voor Windows, macOS, Linux en mobiel. Veel grote bedrijven gebruiken het intern om te bellen, de status van collega's te bekijken, te chatten, webconferenties te houden en voor voicemail. 3CX is een PBX-systeem (Private Branch Exchange), wat in feite een privételefoonnetwerk is dat binnen een bedrijf of organisatie wordt gebruikt. De 3CX-website heeft 600.000 klantbedrijven met 12 miljoen dagelijkse gebruikers, wat u een idee zou kunnen geven van de mogelijke impact die een supply chain-aanval zou kunnen hebben.

Bleepingcomputer meldt: "Een digitaal ondertekende en getrojaniseerde versie van de 3CX Voice Over Internet Protocol (VOIP)-desktopclient wordt naar verluidt gebruikt om de klanten van het bedrijf aan te vallen in een voortdurende aanval op de toeleveringsketen. 3CX is een VoIP IPBX-softwareontwikkelingsbedrijf waarvan het 3CX-telefoonsysteem door meer dan 600.000 bedrijven wereldwijd wordt gebruikt en meer dan 12 miljoen dagelijkse gebruikers heeft. De klantenlijst van het bedrijf omvat een lange lijst van spraakmakende bedrijven en organisaties zoals American Express, Coca-Cola, McDonald's, BMW, Honda, Air France, Toyota, Mercedes-Benz, IKEA en de Britse National Health Service".

Crowdstrike

CrowdStrike heeft melding gemaakt van kwaadaardige activiteiten afkomstig van legitieme, ondertekende versies van 3CX DesktopApp. Waargenomen activiteit omvat beaconing naar door actoren bestuurde infrastructuur, inzet van payloads in de tweede fase en, in een klein aantal gevallen, hands-on-toetsenbordactiviteit. CrowdStrike heeft de activiteit toegeschreven aan een geavanceerde hardnekkige dreigingsgroep. "De kwaadwillende activiteit omvat beaconing naar door actoren bestuurde infrastructuur, inzet van secundaire payloads en, in een klein aantal gevallen, hands-on-toetsenbordactiviteit. Het CrowdStrike Falcon - platform heeft gedragspreventie en detectie van atomaire indicatoren gericht op misbruik van 3CXDesktopApp. Bovendien helpt CrowdStrike Falcon OverWatch™ klanten waakzaam te blijven voor hands-on-toetsenbordactiviteit. CrowdStrike-klanten kunnen inloggen op het klantenondersteuningsportaal en de laatste updates volgen in Trending Threats & Vulnerabilities: Intrusion Campaign Targeting 3CX Customers. De 3CXDesktopApp is beschikbaar voor Windows, macOS, Linux en mobiel. Op dit moment is er activiteit waargenomen op zowel Windows als macOS. CrowdStrike Intelligence heeft vastgesteld dat er sprake is van een vermoedelijke betrokkenheid van de natiestaat door de dreigingsactor LABYRINTH CHOLLIMA . CrowdStrike Intelligence-klanten ontvingen vanmorgen een waarschuwing over deze actieve inbraak. Het CrowdStrike Falcon-platform beschermt klanten tegen deze aanval en heeft dekking met behulp van op gedrag gebaseerde indicatoren van aanvallen (IOA's) en op indicatoren van compromissen (IOC's) gebaseerde detecties gericht op kwaadaardig gedrag dat verband houdt met 3CX op zowel macOS als Windows. Klanten moeten ervoor zorgen dat preventiebeleid correct is geconfigureerd met verdachte processen ingeschakeld."

Sophos

Mat Gangwer, VP, Managed Threat Response bij Sophos zegt: "Sophos identificeerde voor het eerst kwaadaardige activiteit die voortkwam uit een schijnbare supply chain-aanval op de 3CXDesktopApp op 29 maart. 3CX is een veelgebruikt, legitiem zakelijk telefoonsysteem dat wereldwijd wordt gebruikt. De aanvallers zijn erin geslaagd de applicatie te manipuleren en een installatieprogramma toe te voegen dat DLL-sideloading gebruikt om uiteindelijk een kwaadaardige, gecodeerde payload op te halen. Deze tactieken zijn niet nieuw, ze zijn vergelijkbaar met DLL-sideloading-activiteit die we al eerder zagen. We hebben drie van de cruciale componenten van dit DLL-sideloadingscenario geïdentificeerd dat is ingebed in het pakket van de leverancier. We zullen updates blijven geven naarmate deze situatie zich ontvouwt. In de tussentijd heeft Sophos de kwaadaardige activiteit geblokkeerd door de volgende bescherming te publiceren: Troj/Loader-AF, blokkeerde de lijst met bekende C2-domeinen die verband houden met de dreiging en zal deze lijst blijven aanvullen in het IOC-bestand op onze GitHub. We raden gebruikers ook aan om het blog van 3CX te raadplegen voor officiële mededelingen van het bedrijf."

Malwarebytes

De ontdekte aanval is zeer complex en is waarschijnlijk al maanden aan de gang, aldus Malwarebytes: "Hoewel toeschrijving in deze gevallen altijd moeilijk is, wijzen sommige vingers naar Noord-Korea. Het is waarschijnlijk dat de aanvallen aan de gang zijn sinds een van de gedeelde monsters op 3 maart 2023 digitaal werd ondertekend met een legitiem 3CX Ltd-certificaat uitgegeven door DigiCert. Hoewel het vrijwel zeker is dat Windows Electron-clients getroffen zijn, is er tot nu toe geen bewijs dat andere platforms dat ook zijn. Op de 3CX-forums wordt gebruikers verteld dat alleen de nieuwe versie (3CX Desktop App) tot de malware-infectie leidt, omdat de 3CX Phone voor Windows (de oude versie) niet is gebaseerd op het Electron Framework. Electron is een open source-project waarmee webontwikkelaars desktopapplicaties kunnen maken."

Update 31 maart 2023: een onafhankelijke onderzoeker en 3CX hebben bevestigd dat ook de Mac-versie van de desktopclient is gehackt.

Malwarebytes meldt verder: 'Volgens een woordvoerder van 3CX gebeurde dit doordat een stroomopwaartse bibliotheek die het gebruikt, geïnfecteerd raakte. Het belangrijkste uitvoerbare bestand is zelf niet kwaadaardig en kan worden gedownload van de 3CX-website als onderdeel van een installatieprocedure of een update. Het uitvoerbare bestand 3CXDesktopApp.exe sideloadt echter een schadelijke Dynamic Link Library (DLL) genaamd ffmpeg.dll. De ffmpeg.dll wordt op zijn beurt gebruikt om een versleutelde payload uit d3dcompiler_47.dll te extraheren en uit te voeren. De malware downloadt vervolgens pictogrambestanden die op GitHub worden gehost en die Base64-gecodeerde tekenreeksen bevatten die aan het einde van de afbeeldingen zijn toegevoegd, zoals hieronder weergegeven. Het bestand d3dcompiler_47.dll heeft alle functionaliteit van de legitieme versie, met de toegevoegde payload. Dit garandeert dat het gebruikers zou waarschuwen voor het feit dat er iets mis is met hun software. Terwijl er onderzoek gaande is naar de volledige payload, is het duidelijk dat er een achterdeur wordt gecreëerd op de getroffen systemen."

Wat gedaan moet worden?

Na aanvankelijk de waarschuwingen op zijn gebruikersforums te hebben gebagatelliseerd als een mogelijk fout-positief, heeft 3CX nu gepost dat het aan een update werkt. Het advies op de 3CX-forums is om de app te verwijderen en vervolgens opnieuw te installeren, vergezeld van een sterk advies om in plaats daarvan de PWA-client te installeren . Malwarebytes detecteert de kwaadaardige DDL's als Trojan.Agent (ffmpeg.dll) en Trojan.Compromised3CX (%LOCALAPPDATA%\PROGRAMS\3CXDesktopApp\*\d3dcompiler_47.dll).

Threatlocker

ThreatLocker heeft nieuwe informatie ontvangen over de mogelijke aanval van de 3CX-desktopapplicatie. Nick Galea, CEO van 3CX, heeft bevestigd dat de berichten over het compromitteren van de 3CX-desktopapplicatie waar zijn. Voorlopige rapporten laten zien dat deze meertrapsaanval een ondertekend 3CX MSI-bestand gebruikt om twee kwaadaardige DLL-bestanden uit te pakken. De 3CXDesktopApp.exe zelf lijkt niet kwaadaardig te zijn. Deze kwaadaardige DLL's zijn verantwoordelijk voor het leveren van de payload. ThreatLocker blijft deze dynamische situatie volgen en zal updaten zodra er nieuwe informatie beschikbaar is.

Organisaties die werken volgens een standaardweigeringsfilosofie, ongeacht of software is gecompromitteerd, worden beschermd in de mate dat geen enkele software andere software kan uitvoeren of malware kan uitvoeren, inclusief kwaadaardige DLL's, tenzij deze software of bestanden expliciet zijn toegestaan. Voor ThreatLocker-klanten met een beveiligde omgeving zou deze payload-DLL niet moeten kunnen worden uitgevoerd. ThreatLocker heeft ook de bevestigde gecompromitteerde bestanden verwijderd uit de 3CX (ingebouwde) applicatie, dus deze bestanden zijn niet toegestaan als gevolg van het gebruik van de 3CX (ingebouwde) applicatiedefinitie. Voor onze niet-beveiligde klanten en klanten die een aangepaste 3CX-applicatiedefinitie gebruiken, heeft ThreatLocker de bestanden geïdentificeerd waarvan is gemeld dat ze zijn gecompromitteerd en heeft een nieuwe ingebouwde applicatie gemaakt met de naam "3CX [Reported] (Built-In)" die deze bevat bestanden.

Gebruikers kunnen een weigeringsbeleid maken voor deze applicatie "3CX [Gerapporteerd] (ingebouwd)" en deze boven hun huidige 3CX-beleid plaatsen. Deze ingebouwde applicatie blokkeert alle uitvoerbare bestanden in de mogelijk gecompromitteerde versies, 18.12.416 en 18.12.407, voor de 3CX-desktopapplicatie. Als u een van deze versies gebruikt, zorgt de nieuwe ingebouwde applicatie ervoor dat de 3CX-applicatie niet wordt uitgevoerd ThreatLocker raadt gebruikers ook aan hun huidige 3CX-applicatie af te schermen, zodat deze niet meer toegang heeft dan nodig is: blokkeer de toegang om bestanden te lezen en te schrijven en blokkeer de toegang tot internet. Gebruikers moeten dan hun eigen uitsluitingen voor hun domein(en) toevoegen, die zich in de 3CX-webconsole bevinden. Als best practice raadt ThreatLocker aan dat gebruikers voortdurend hun acceptatielijst evalueren, onnodige en ongebruikte beleidsregels verwijderen en Ringfencing toepassen op elke mogelijke applicatie, waarbij elke applicatie alleen toegang krijgt tot wat het nodig heeft en niets meer.

Check Point Software Technologies

Lotem Finkelstein, directeur van Threat Intelligence & Research bij Check Point zegt over de aanval op de 3CX DesktopApp: "Dit is een klassieke supply chain aanval, ontworpen om vertrouwensrelaties tussen een organisatie en externe partijen uit te buiten, waaronder partnerschappen met leveranciers of het gebruik van software van derden waar de meeste bedrijven op de een of andere manier van afhankelijk zijn. Dit incident herinnert ons eraan hoe belangrijk het is dat we zorgvuldig nagaan met wie we zaken doen. Door simpelweg de vraag te stellen wat je als organisatie doet om cyberveilig te zijn, kan het risico aanzienlijk beperkt worden.”

Finkelstein vervolgt: "Bedreigingsactoren ontwikkelen hun aanvalstechnieken voortdurend, waarbij steeds minder gebruik wordt gemaakt van aangepaste malware en in plaats daarvan wordt overgeschakeld op het gebruik van ‘non-signature’ tools. Zij gebruiken ingebouwde mogelijkheden van het besturingssysteem die al op de machine van het doelwit zijn geïnstalleerd en maken gebruik van populaire IT-beheertools die minder snel argwaan wekken wanneer ze worden ontdekt. Vaak worden ook commerciële off-the-shelf pentesting en Red Team tools gebruikt. Hoewel dit geen nieuw verschijnsel is, is wat ooit zeldzaam en exclusief was voor geavanceerde actoren, nu een wijdverbreide techniek geworden die door alle bedreigingsactoren wordt toegepast. Vooruitkijkend is het belangrijk dat we prioriteit geven aan een geconsolideerde, alomvattende en gezamenlijke beveiligingsaanpak die onze netwerken beschermt tegen het verschuivende cyberlandschap."