Enter your email Address

  • Home
  • Mobility
  • ICT
  • Telecom
  • IoT
  • Algemeen
    • Vacatures
  • Achtergrond
  • Evenementen
  • Magazines
    • TBM
    • OFM
  • Home
  • Telecom
  • Mobility
  • VoIP
  • ICT
  • IoT
  • Algemeen nieuws
  • Evenementen
  • TBM Magazine
  • Achtergrond
  • Contact
Facebook Twitter LinkedIn
Facebook Twitter LinkedIn
TBM
Login
  • Home
  • Mobility
  • ICT
  • Telecom
  • IoT
  • Algemeen
    • Vacatures
  • Achtergrond
  • Evenementen
  • Magazines
    • TBM
    • OFM
TBM
Home»Achtergrond»Supplychain aanval treft 3CXDesktop-app
Achtergrond

Supplychain aanval treft 3CXDesktop-app

4 april 20235 Min leestijd
Delen
Facebook Twitter LinkedIn Email WhatsApp

De desktopclient van VOiP-aanbieder 3CX is eind vorige week door hackers overgenomen en verspreidt malware na een supplychainaanval. 3CX roept gebruikers op om zijn webapp te gebruiken en werkt aan een oplossing. Het bedrijf spreekt van een gerichte aanval van een advanced persistent threat, ‘misschien zelfs state sponsored’. Ook security experts spreken van een mogelijke aanval door staatshackers. Er wordt gewerkt aan een veilige update, maar die was vanmorgen nog niet beschikbaar.

Het gaat om een supplychain-aanval waarbij mogelijk veel gebruikers van deze software zijn getroffen. In de 3CX Desktop-App update 7 zit een stukje software dat besmet is met malware. 3CX heeft aangegeven dat versie 7 sinds eind maart 2023 per update beschikbaar is. Het probleem gold voor gebruikers die de app installeerden met de officiële installer en gebruikers die hun bestaande installatie updateten. Het softwarehuis werkt aan een nieuwe versie waarmee dit probleem moet worden verholpen. Deze zal zo snel mogelijk beschikbaar wordt gesteld voor gebruikers.

Op 29 maart ontving 3CX meldingen van een derde partij over een kwaadwillende die misbruik maakte van een kwetsbaarheid in ons product. We hebben onmiddellijk stappen ondernomen om het incident te onderzoeken en Mandiant, vooraanstaande wereldwijde deskundigen op het gebied van cyberbeveiliging, in de arm genomen. Het eerste onderzoek wees uit dat het incident werd uitgevoerd door een zeer ervaren en goed geïnformeerde hacker. We werken nauw samen met de politie en andere autoriteiten.

3CX adviseerde direct om de 3CX Electron Desktop-applicatie te verwijderen en over te schakelen naar de PWA-webclient-app.

Het NCSC  (Ntionaal Cybersecurity Center) adviseert organisaties die gebruik maken van 3CX dringend dit advies op te volgen en na het verwijderen van de besmette update grondig onderzoek te doen binnen hun systemen. Onder dit bericht zijn diverse bronnen te vinden met tools, YARA- en Sigmaregels en indicatoren die voor dergelijk onderzoek gebruikt kunnen worden.
> Het NCSC adviseert ook partijen die nog gebruikmaken van een oude versie (update <7) expliciet ook onderzoek te doen naar mogelijke compromittatie van hun systemen en waakzaam te zijn op signalen van mogelijk misbruik.

Het 3CX Phone System wordt gebruikt door meer dan 600.000 bedrijven wereldwijd en heeft in totaal 12 miljoen gebruikers. Onder klanten van 3CX vallen bedrijven als McDonald’s, Coca-Cola, Pepsi, IKEA, het Massachusetts Institute of Technology en de Britse NHS.

Wat is de 3CXDesktop-app?

3CXDesktopApp is een desktopclient van het 3CX voice over IP (VoIP)-systeem. De applicatie stelt gebruikers in staat om binnen en buiten de organisatie te communiceren via hun desktop of laptop.

De app kan oproepen opnemen en videoconferenties mogelijk maken en kan worden gebruikt op Windows-, macOS- en Linux-besturingssystemen. Het is een tool die bedrijven gebruiken wanneer ze een hybride of extern personeelsbestand hebben en tot hun klanten behoren overheidsdienstverleners zoals de NHS en grote ondernemingen, waaronder Coca-Cola, Ikea en Honda.

Wat is er gebeurd?

De afgelopen dagen is er bewijs verzameld dat een getrojaniseerde versie van de originele 3CXDesktopApp-client wordt gedownload naar nietsvermoedende slachtoffers over de hele wereld. De getrojaniseerde versie bevat een kwaadaardig DLL-bestand, dat een origineel verving, waarvan bekend is dat het wordt geleverd met de goedaardige versie van de app. Wanneer de applicatie vervolgens wordt geladen, voert de ondertekende 3CXDesktopApp de schadelijke DLL uit als onderdeel van de vooraf gedefinieerde uitvoeringsprocedure.

Dit veranderde de onschuldige populaire VoIP-app in een volwaardige malware die bakens geeft aan externe servers en in staat is tweede fase malware uit te voeren.

Supply chain-aanval inderdaad

Dit is een klassieke aanval op de toeleveringsketen , hoewel er geen bewijs is dat deze regels zijn geschreven voor enige interventie in de broncode van 3CXDesktopApp. En toch verwachtte niemand dat de applicatie zou worden bediend met een kwaadaardig implantaat.

Supply chain-aanvallen zijn ontworpen om vertrouwensrelaties tussen een organisatie en externe partijen uit te buiten. Deze relaties kunnen partnerschappen, leveranciersrelaties of het gebruik van software van derden omvatten. Cyberdreigingsactoren zullen één organisatie compromitteren en vervolgens hogerop in de toeleveringsketen komen, gebruikmakend van deze vertrouwde relaties om toegang te krijgen tot de omgevingen van andere organisaties.

Dit voegt zich bij de bewapening van legitieme tools –

De basislaag van cyberbeveiliging is het herkennen van kwaadaardige tools en gedrag voordat ze kunnen toeslaan. Beveiligingsleveranciers investeren aanzienlijke middelen in het onderzoeken en in kaart brengen van malwaretypen en -families, en hun toewijzing aan specifieke bedreigingsactoren en de bijbehorende campagnes, terwijl ze ook TTP’s (Techniques, Tactics and Procedures) identificeren die de juiste beveiligingscycli en het beveiligingsbeleid bepalen.

Om geavanceerde cyberbeveiligingsoplossingen te bestrijden, ontwikkelen en perfectioneren bedreigingsactoren hun aanvalstechnieken, die steeds minder afhankelijk zijn van het gebruik van aangepaste malware en in plaats daarvan verschuiven naar het gebruik van niet-ondertekende tools. Ze gebruiken ingebouwde mogelijkheden en tools van het besturingssysteem, die al op doelsystemen zijn geïnstalleerd, en maken gebruik van populaire IT-beheertools die bij detectie minder snel argwaan wekken. Commerciële kant-en-klare pentesting en Red Team-tools worden ook vaak gebruikt. Hoewel dit geen nieuw fenomeen is, is wat ooit zeldzaam en exclusief was voor geavanceerde actoren, nu een wijdverbreide techniek geworden die wordt gebruikt door alle soorten bedreigingsactoren.

Wat we weten over de aanval
30 maart 2023, 9.00 ET

Infectieketen in deze aanval maakt misbruik van DLL side-loading via ondertekend uitvoerbaar bestand (MSI-pakket). De zijdelings geladen DLL (ffmpeg.dll) is kwaadaardig en is zo aangepast dat deze op zijn beurt de versleutelde gegevens van een andere DLL (d3dcompiler_47.dll) leest. Vervolgens wordt een gecodeerde URL gedownload in de vorm van een pictogram van GitHub met Base64-blok toegevoegd aan het einde van het bestand. Het belangrijke punt over communicatie met GitHub is dat de vertraging van een week in de code is ingesteld voordat het verzoek aan GitHub daadwerkelijk plaatsvindt. Nadat deze stap eindelijk is voltooid, wordt de uiteindelijke payload gedownload van een van deze URL’s en uitgevoerd.

Gerelateerd

Vorige artikel50 jaar geleden werd het eerste telefoontje met een mobiel gepleegd
Volgende artikel Zorgcommunicatie – 5G of toch WiFi?

Gerelateerde berichten

De impact van green buildings op mobiele bereikbaarheid!

De impact van green buildings op mobiele bereikbaarheid!

Een ongeluk zit in een klein hoekje

Een ongeluk zit in een klein hoekje

TBM Magazine

Blijf up to date

Altijd het laatste telecom en ICT nieuws in je mailbox.

Vacatures
  • Business analist (FG 8/9)

    • Eindhoven
    • Pocos
    • Full Time
  • Inside Partnermanager (FG 7)

    • Eindhoven
    • Pocos
  • X2com – Senior ISP Netwerk Engineer

    • Rosmalen
    • X2com
  • Pocos – Senior Network Engineer (FG 10)

    • Eindhoven
    • Pocos
  • Pocos – Senior Java Developer (FG 9)

    • Eindhoven
    • Pocos
  • Pocos – Medewerker Servicedesk (FG 6)

    • Eindhoven
    • Pocos
Evenementen
Current Month

TBM - de Business Tool voor ICT-reseller- is ooit gestart als magazine voor telecomkanaal en heeft zich ontwikkeld tot kennis- en netwerkplatform voor alle ICT-resellers actief in voice, collaboration en werkplekbeheer.

Over TBM
  • Home
  • TBM Magazine
  • Abonnement
  • Adverteren
  • Contact
  • Algemene voorwaarden
Contact

Kerkenbos 1015L
6546 BB Nijmegen

024-3454150
tbm@magentacommunicatie.nl

© 2023 TBM Het IT en Telecom platform van de Benelux | TBM is onderdeel van Magenta Communicatieprojecten B.V yeps

Typ hierboven en druk op Enter om te zoeken. Druk op Esc Esc om te annuleren.

We gebruiken cookies om je de beste ervaring op onze site te bieden.

Je kunt meer informatie vinden over welke cookies we gebruiken of deze uitschakelen in de instellingen .

Sign In or Register

Welcome Back!

Login to your account below.

Lost password?
X
TBM
Privacyoverzicht

Deze site maakt gebruik van cookies, zodat wij je de best mogelijke gebruikerservaring kunnen bieden. Cookie-informatie wordt opgeslagen in je browser en voert functies uit zoals het herkennen wanneer je terugkeert naar onze site en helpt ons team om te begrijpen welke delen van de site je het meest interessant en nuttig vindt.

Strikt noodzakelijke cookies

Strikt noodzakelijke cookie moet te allen tijde worden ingeschakeld, zodat we je voorkeuren voor cookie-instellingen kunnen opslaan.

Als je deze cookie uitschakelt, kunnen we je voorkeuren niet opslaan . Dit betekent dat elke keer dat je deze site bezoekt het nodig is om cookies weer in te schakelen of uit te schakelen.

Cookies van derden

Deze site gebruikt Google Analytics om anonieme informatie zoals bezoekersaantallen en meest populaire pagina's te verzamelen.

Door deze cookie aan te laten staan help je onze site te verbeteren.

Schakel eerst strikt noodzakelijke cookies in om je voorkeuren op te slaan!