Verschiedene Sicherheitsanbieter berichteten, am 29. März 2023 sei es zu bösartigen Aktivitäten gekommen, die sich zu einer anscheinend legitimen, signierten Binärdatei einer Softphone-Anwendung von 3CX zurückverfolgen ließen. Die von der 3CX Desktop-App ausgehenden Schad-Aktivitäten umfassten das Beaconing der Infrastruktur von Akteuren, die Bereitstellung von Nutzlasten der zweiten Stufe und in einigen wenigen Fällen auch Aktivitäten über die Tastatur. 3CX ist ein internationaler Entwickler von VoIP-IPBX-Software. Die auf offenen Standards basierende, softwarebasierte „Telefonanlage“ war ursprünglich nur unter Windows einsetzbar, kann aber seit 2016 auch unter Linux und auf Cloud-Plattformen eingesetzt werden. Die entsprechende Desktop-App ist eine Anwendung für Windows, macOS, Linux und Mobilgeräte, mit der am Desktop direkt mittels eines Headsets telefoniert werden kann.
Experten des Sicherheitsanbieters Kaspersky haben den Angriff nun näher analysiert, der über das VoIP-Programm 3CX Desktop-App durchgeführt und bei dem ein Infostealer installiert wurde [1]. Im Zuge der Analyse fanden sie eine verdächtige Dynamic Link Library (DLL), die in den infizierten 3CXDesktopApp.exe-Prozess geladen wurde. DLL-Side-Loading ist eine bei Cyber-Angriffen immer beliebtere Methode, die sich die Art und Weise zunutze macht, wie Betriebssysteme namhafter Anbieter DLL-Dateien handhaben. Sobald es Cyber-Kriminellen gelungen ist, die Schadsoftware im Komponentenspeicherverzeichnis abzulegen, das installierter Software bestimmte Standardfunktionen zuweist und bei jedem Installationsvorgang verwendet wird, lädt das Betriebssystem dann die Schad-DLL anstelle der legitimen DLL-Datei.
Schon etwa eine Woche vor der Entdeckung des aktuellen Angriffs haben Kaspersky-Experten eine Untersuchung zu einem Fall eingeleitet, der mit Schad-DLL in Verbindung steht. Die DLL wurde beim Deployment der sogenannten Gopuram-Backdoor verwendet und wird bereits seit dem Jahr 2020 von Kaspersky beobachtet. In ihrer Analyse konnten die Sicherheitsexperten zeigen, dass Gopuram auf Computern, die mit AppleJeus [2] angegriffen wurden, koexistiert. Bei AppleJeus handelt es sich um eine dem koreanischsprachigen Bedrohungsakteur Lazarus [3] zugeschriebene Backdoor.
Während sich Installationen der infizierten 3CX-Software weltweit finden – wenn auch Deutschland, Italien und Frankreich sowie Brasilien die meisten Kompromittierungsfälle zu verzeichnen hatten –, wurde Gopuram, laut Kaspersky, auf weniger als zehn Computern beobachtet. Die Kaspersky-Analysten sehen darin einen Hinweis darauf, dass Angreifer diese Backdoor extrem gezielt einsetzen. Kryptowährungsunternehmen scheinen dabei besonderes im Fokus der Angreifer zu sein.
„Der Infostealer ist nicht der einzige schädliche Payload, der während des Angriffs eingesetzt wird“, erläutert Georgy Kucherin, Sicherheitsexperte in Kasperskys Global Research and Analysis Team und weist darauf hin, dass der Bedrohungsakteur hinter Gopuram Zielcomputer zusätzlich mit der vollwertigen, modularen Gopuram-Backdoor infiziert. „Wir glauben,“ so Kucherin, „dass Gopuram das Hauptimplantat und die letzte Payload in der Angriffskette ist. Unsere Untersuchungen dauern noch an und wir werden die eingesetzten Implantate genauer analysieren, um weitere Details über das bei dem Angriff auf die Lieferkette verwendete Toolset herauszufinden.“
[1] https://securelist.com/gopuram-backdoor-deployed-through-3cx-supply-chain-attack/109344/
[2] https://securelist.com/operation-applejeus-sequel/95596/
