TI - 3CX Desktop App Supply Chain Attack / SmoothOperator

Beschreibung:

Am 30.03.2023 haben wir Nachrichten über eine Supply Chain Attack der Firma 3CX beobachtet. Die 3CX Desktop App in bestimmten Versionen scheint trojanisiert worden zu sein. Die Desktop App lädt schädliche Programme von unbekannten Angreifern nach. Dieser Angriff soll bereits am 22.03.2023 erstmals beobachtet worden sein. Der Angriff schein nur spezielle Versionen der 3CX Desktop App zu betreffen (nähere Informationen unter "Betroffene Systeme"). Eine mögliche Ursache könnte eine schadhafte Programmbibliothek sein, die von 3CX für die Desktop App verwendet wird. Laut 3CX sind Mobile Apps und Web Apps sind nicht von diesem Problem betroffen. SentinelOne und Microsoft Defender for Endpoint erkennen die aktuellen schädlichen Versionen bereits und alarmieren entsprechend. 3CX hat bereits die Domains für das Nachladen von Schadcode sperren lassen. 3CX berichtet zudem, dass der Angriff sich anscheinend nur auf wenige Ziele beschränkt hat. Aktuell befindet sich der Angriff in Untersuchung. Wenn es signifikante Veränderungen in der Bedrohungslage geben sollte, wird das ACP SOC Austria entsprechend informieren.

Betroffene Systeme:

Windows Electron Desktop App, Update 7 18.12.407 / 18.12.416 Mac Electron Desktop App 18.11.1213 / 18.12.402 / 18.12.407 / 18.12.416

Behobene Versionen:

Windows Electron Desktop App 18.12.422 Mac Electron Desktop App 18.12.422

Empfohlene Maßnahmen:

Wenn Sie Ausnahmen für die 3CX Desktop App in ihren Sicherheitsprodukten (EDR, Antivirus) eingerichtet haben, empfehlen wir diese umgehend zu entfernen. 3CX empfiehlt die betroffenen Versionen zu deinstallieren und die neue Version zu installieren. Ein temporärer Workaround wäre die Nutzung des webbasierten PWA Cients (https://www.3cx.com/blog/releases/web-client-pwa/). Laut 3CX stehen nahezu alle Funktionen bis auf Hotkeys und BLF zur Verfügung. Nähere Informationen zur Vorgehensweise entnehmen Sie bitte aus dem 3CX Blog Post: https://www.3cx.com/blog/news/desktopapp-security-alert-updates/

Einschätzung der Bedrohung;

Die trojanisierten Versionen der Desktop App haben laut Berichten Schadcode nachgeladen. Aktuell berichtet 3CX nur von wenigen Zielen. Allerdings sind die Untersuchungen noch im Gange. Wir empfehlen rasches Handeln, da sich die Situation womöglich ändern könnte.

Weiterführende Links:

https://thehackernews.com/2023/03/3cx-desktop-app-targeted-in-supply.html
https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/ https://www.3cx.com/community/threads/3cx-desktopapp-security-alert.119951/
https://www.3cx.com/blog/releases/web-client-pwa/ https://www.3cx.com/blog/news/desktopapp-security-alert-updates/