Dank SentinelOne gegen die 3CXDesktopAPP-Attacke geschützt

Veröffentlicht am 31.03.2023

Quickfacts

Aktuell laufende Kampagne

Bereits am Dienstag hat SentinelOne, dank automatisierter Detect und Response-Massnahmen, damit begonnen, den 3CX-Client in Quarantäne zu setzen und zu blockieren. Zu diesem Zeitpunkt für einige Administratoren noch als false-positiv-Massnahme, wie sich spätestens seit Donnerstagmorgen herausstellt, berechtigt und wichtige Massnahme.

Bei der immer noch laufenden Analyse stellte sich heraus, dass es sich dabei um eine mehrstufige Angriffskette handelt.

Der Angriff wird mit der 3CXDesktop-APP gestartet, welche als Shellcode-Loader dient und DLL-Dateien herunterlädt. Diese laden wiederrum Symboldateien herunter, welche decodiert dann eine nächste Stufe des Angriffs einläuten. Diese sideloaded-Dateien implementieren sogenannte Infostealer-Funktionalitäten, mit denen schlussendlich Systeminformationen gesammelt werde, sowie Daten und Anmeldeinformationen von Chrome-, Edge-, Brave- sowie Firefox-Benutzerprofilen geklaut werden können.

Anschliessend sollen die gesammelten Informationen etc. an eine der folgenden, von den Angreifern kontrollierten Domänen gesendet werden:

URLgithub[.]com/IconStorages/images
Emailcliego.garcia@proton [.]me
Emailphilip.je@proton [.]me
SHA-1cad1120d91b812acafef7175f949dd1b09c6c21a
SHA-1bf939c9c261d27ee7bb92325cc588624fca75429
SHA-120d554a80d759c50d6537dd7097fed84dd258b3e
URIhttps://www.3cx[.]com/blog/event-trainings/
URIhttps://akamaitechcloudservices[.]com/v2/storage
URIhttps://azureonlinestorage[.]com/azure/storage
URIhttps://msedgepackageinfo[.]com/microsoft-edge
URIhttps://glcloudservice[.]com/v1/console
URIhttps://pbxsources[.]com/exchange
URIhttps://msstorageazure[.]com/window
URIhttps://officestoragebox[.]com/api/session
URIhttps://visualstudiofactory[.]com/workload
URIhttps://azuredeploystore[.]com/cloud/services
URIhttps://msstorageboxes[.]com/office
URIhttps://officeaddons[.]com/technologies
URIhttps://sourceslabs[.]com/downloads
URIhttps://zacharryblogs[.]com/feed
URIhttps://pbxcloudeservices[.]com/phonesystem
URIhttps://pbxphonenetwork[.]com/voip
URIhttps://msedgeupdate[.]net/Windows

Tabelle 1: https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack

Inzwischen veröffentlichte 3CX auch ein Statement, in welchem der Hersteller die Empfehlung ausspricht, die Desktop-Applikation zu deinstallieren und die Web-Applikation zu nutzen.

Empfehlung

Für Kunden, welche bereits SentinelOne nutzen und 3CX im Einsatz haben, sind keine weiteren Massnahmen zwingend erforderlich. Entsprechende technische Indikatoren und Massnahmen wurden bereits automatisiert von SentinelOne ergriffen und bereitgestellt.

Security Engineers von Inseya erstellten bereits am Donnerstag in den frühen Morgenstunden sogenannte Star-Rules und verteilten diese, um noch mehr Transparenz und Sicherheit auf den verwalteten SentinelOne Endpoints gewährleisten zu können.

SentinelOne – Ihr Schutzschild gegen Cyberbedrohung!

Sollten Sie ebenfalls 3CX im Einsatz haben, aber nicht wissen ob oder welche Ihrer Systeme davon möglicherweise betroffen sind, helfen wir Ihnen gerne schnell und unkompliziert weiter. Dank einer schnellen Verteilung des SentinelOne Agents, können Sie innerhalb weniger Minuten die ersten Ergebnisse erwarten und Gegenmassnahmen ergreifen.

Weitere Informationen zu SentinelOne finden Sie unter: https://www.inseya.ch/de/produkte/endpoint-security/sentinelone

Quellen

https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/

SentinelOne schützt vor SmoothOperator

https://www.3cx.com/community/threads/3cx-desktopapp-security-alert.119951/#post-558907

https://www.3cx.com/blog/news/desktopapp-security-alert/

Haben Sie Fragen zu Cybersicherheit? Schreiben Sie uns an!