3CX wusste, dass seine App von AV-Plattformen gekennzeichnet wurde, und hat während eines Angriffs auf die Lieferkette nur sehr wenig bewirkt

von dem Hoppla Abt

Wenn Sie die VoIP-Plattform von 3CX nicht nutzen oder im MSP-Bereich mit Unternehmen zusammenarbeiten, die dies tun, haben Sie möglicherweise die Nachricht verpasst, dass das Unternehmen in den letzten Tagen einen massiven Angriff auf die Lieferkette erlitten hat. Angesichts der Vergleiche mit dem SolarWinds-Fiasko war das wirklich, wirklich schlimm. Ahnungslose Kunden von 3CX hatten Windows- und Mac-Versionen der App für Hunderttausende von Kunden auf ihren Computern bereitgestellt, in die sich Malware eingeschlichen hatte. Diese Malware rief von Akteuren kontrollierte Server an, die dann weitere Malware einsetzten, die alles von der Browserentführung bis zur vollständigen Fernübernahme des Computers ermöglichte. Hinter all dem soll eine mit der nordkoreanischen Regierung in Verbindung stehende Hackergruppe stecken.

Die Sicherheitsfirma CrowdStrike sagte, die Infrastruktur und ein Verschlüsselungsschlüssel, die bei dem Angriff verwendet wurden, stimmen mit denen überein, die in einer Kampagne vom 7.

Der Angriff kam am späten Mittwoch ans Licht, als Produkte verschiedener Sicherheitsunternehmen begannen, bösartige Aktivitäten zu erkennen, die von rechtmäßig signierten Binärdateien für 3CX-Desktop-Apps ausgingen. Die Vorbereitungen für die ausgeklügelte Operation begannen spätestens im Februar 2022, als der Bedrohungsakteur eine weitläufige Reihe von Domänen registrierte, die zur Kommunikation mit infizierten Geräten verwendet wurden. Am 22. März verzeichnete das Sicherheitsunternehmen Sentinel One einen Anstieg der Verhaltenserkennungen der 3CXDesktopApp. Am selben Tag starteten 3CX-Benutzer Online-Threads, in denen sie diskutierten, was ihrer Meinung nach potenzielle falsch positive Erkennungen von 3CXDesktopApp durch ihre Endpoint-Sicherheits-Apps waren.

Hier ist das Problem mit diesem letzten Absatz: Die Erkennung des bösartigen Codes begann tatsächlich vor Mittwoch, dem 29. März. In einem aktualisierten Beitrag von ArsTechnica stellte sich heraus, dass Kunden bemerkten, dass einige AV-Agenten den 3CX-Installer und die App bis zum 22. März, eine Woche zuvor, markierten. Und diese Kunden bemerkten dies in den 3CX-eigenen Community-Foren.

„Beobachtet noch jemand dieses Problem bei anderen A/V-Anbietern?“ fragte ein Unternehmenskunde am 22. März in einem Beitrag mit dem Titel „Bedrohungswarnungen von SentinelOne für Desktop-Updates, die vom Desktop-Client initiiert wurden“. Der Kunde bezog sich auf ein Endpoint-Malware-Erkennungsprodukt des Sicherheitsunternehmens SentinelOne. Der Beitrag enthielt einige von SentinelOnes Verdächtigungen: die Erkennung von Shellcode, Code-Injektion in anderen Prozessspeicherbereich und andere Marken der Softwareausbeutung.

Andere sahen tatsächlich dasselbe. Diese Kunden waren damit beschäftigt, Ausnahmen für die Anwendung zu schreiben, da sie davon ausgingen, dass eine signierte/vertrauenswürdige App des Herstellers selbst wahrscheinlich zu einem falschen Negativ führen würde. Andere Nutzer zogen nach. 3CX schwieg bis Dienstag, den 28. März.

Ein paar Minuten später beteiligte sich erstmals ein Mitglied des 3CX-Supportteams an der Diskussion und empfahl den Kunden, sich an SentinelOne zu wenden, da die Software dieses Unternehmens die Warnung auslöste. Ein anderer Kunde drängte zurück und schrieb:

Hmmm … je mehr Leute, die sowohl 3CX als auch SentinelOne verwenden, das gleiche Problem bekommen. Wäre es nicht schön, wenn Sie von 3CX sich an SentinelOne wenden und herausfinden würden, ob es sich um einen Fehlalarm handelt oder nicht? – Von Anbieter zu Anbieter – damit Sie und die Community am Ende wissen, ob es noch sicher ist?

Genau das hätte natürlich passieren sollen. Stattdessen sagte der 3CX-Vertreter, dass es zu viele AV-Anbieter gebe, um sie alle anzurufen. Dann erwähnte er oder sie, dass sie die Antivirensoftware nicht kontrollieren, wies den Benutzer jedoch an, „ihre Ergebnisse zu posten“, sobald sie SentinelOne selbst angerufen hätten.

Lesen Sie auch  GPT-4: Wird die KI hinter ChatGPT immer schlimmer?

Diese Ergebnisse wurden am nächsten Tag für alle sichtbar, als der Angriff und die Kompromittierung von 3CX sehr, sehr öffentlich wurden.

Man könnte wirklich denken, dass nach SolarWinds zuerst und Kaseya zweitens Technologieunternehmen es besser wissen würden, als solche Dinge zu ignorieren und tatsächlich sprechen an die Sicherheitsfirmen, die ihre Produkte kennzeichnen.

Abgelegt unter: Antivirus, Hack, Supply-Chain-Angriff, Schwachstelle

Unternehmen: 3cx

Recent News

Tags
als Auf aus bei Das Dass dem den der des die ein eine einem einen Einer Fußball FÜR gegen haben hat IST MEHR MIT nach Nachricht neue nicht sich SIE sind Sport tägliche Post Und Von Vor wegen werden Wie wird Wirtschaft Würde zum zur über

Related News

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Hosted by Byohosting - Most Recommended Web Hosting - for complains, abuse, advertising contact: o f f i c e @byohosting.com

Copyright 2023 Germanic.News. All rights reserved.