Unterwanderte VoIP-Software Softphone von 3CX kann auch Backdoor installieren
Die VoIP-Software von 3CX wurde kürzlich unterwandert und lieferte einen Info-Stealer-Troajner mit. Kaspersky beobachtet auch die Installation von Backdoors.
(Bild: Titima Ongkantong/Shutterstock.com)
Beim Informationsklau ist noch nicht Schluss: Die vermutlich nordkoreanischen Angreifer der Cybergang Lazarus haben die VoIP-Software von 3CX nicht nur mit einem datenstehlenden Trojaner ausgestattet, sondern können infizierte Systeme noch mit einer Backdoor versehen. Das hat der Antivirenhersteller Kaspersky jetzt beobachtet.
Am Donnerstag vergangener Woche wurden Lieferkettenangriffe auf die Softphone-Software von 3CX bekannt. Die VoIP-Software nahm Kontakt zu Command-and-Control-Servern mit unverdächtig anmutenden, aber lediglich an populäre Namen angelehnte Domain-Namen auf und lud von dort weiteren Schadcode wie Remote-Shells und Info-Stealer nach. Das BSI hatte am Freitag dann die IT-Bedrohungslage auf Stufe "3 / Orange" angehoben.
3CX Softphone: Individuelle Angriffe
Der Antivirenhersteller Kaspersky hat die infizierten 3CX-Programme genauer analysiert und Ergebnisse veröffentlicht. Demnach lädt die kompromittierte Software in manchen Fällen nicht nur Info-Stealer nach, sondern auch eine Backdoor, die Kaspersky Gopuram nennt. Die gibt es bereits seit 2020, kam etwa in Angriffen auf Kryptowährungsunternehmen zum Einsatz und lag oft neben einer als AppleJeus bekannten Backdoor, die ebenfalls der nordkoreanischen Lazarus-Cybergang zugeordnet wird.
Im März kam es nun zu einer Häufung an Infektionen mit Gopuram. Diese korreliert Kaspersky zufolge direkt mit dem 3CX-Lieferkettenangriff. Die Angreifer haben speziell Unternehmen aus der Krypto-Branche mit der Backdoor angegriffen. Die Virenanalysten liefern in der Analyse detaillierte Einblicke in die Malware. Sie kann diverse Funktionen ausführen, darunter einen simplen ping auf Zielrechner, mittels connect ein anderes System kontaktieren und auf das Senden von Daten warten, Registrykeys und Dienste auflisten, hinzufügen sowie letztere starten und stoppen, unsignierte Treiber laden oder etwa auf die Benutzer-, Gruppen-, Sitzungs- und Freigaben-Verwaltung zugreifen.
Kasperskys Telemetriedaten zufolge finden sich die infizierten 3CX-Softwarepakete weltweit, jedoch mit den höchsten Infektionsraten insbesondere in Brasilien, Deutschland, Italien und Frankreich. Die Gopuram-Backdoor sei äußerst gezielt eingesetzt worden, da sie bislang auf weniger als zehn der kompromittierten Maschinen installiert wurde. Dies überlappe mit dem speziellen Interesse an Kryptowährungsunternehmen.
3CX hat inzwischen zusammen mit Nextron Systems eine erweiterte Version des Scanners Thor Lite bereitgestellt. Der soll nicht nur die bislang bekannten nachgeladenen Dateien aufspüren, sondern in den System-Logs nach Indizien einer aktiven Infektion suchen. IT-Verantwortliche, die 3CX-Software einsetzen, können und sollten damit ihre Systeme auf einen Befall untersuchen.
(dmk)
