Links überspringen

Achtung bei 3CX Desktop-APP

Wartungskunde von EBL können beruhigt sein.

Mit Sophos XDR/MDR sind Sie auf alle Fälle save, unser Geräte/Softwaremonitoring hat den Softwarebestand schon durchsucht und keine betroffenen Software gefunden.

Überblick 

Auf der Grundlage von Open-Source-Informationen hat MDR Operations beobachtet, dass der beliebte Voice-over-Internet-Protocol (VOIP)-Client 3CXDesktop aktiv in einer laufenden Kampagne eingesetzt wird.
Bei der Software handelt es sich um eine digital signierte und trojanisierte Version des Softphone-Desktop-Clients für Windows und MacOS. Die bisher am häufigsten beobachtete Aktivität nach der Infizierung ist das Aufrufen einer interaktiven Befehls-Shell.

Einige Sicherheitsforscher vermuten, dass diese Aktivitäten vom Staat gesponsert werden, allerdings können wir diese Zuschreibung derzeit nicht mit hoher Sicherheit verifizieren.

Was Sie tun sollten 

  • Halten Sie Ausschau nach Mitteilungen von 3CX, entweder direkt oder über das 3CX-Forum
    https://www.3cx.com/community/forums/webrtc-webclient/
  • Identifizieren Sie Systeme, auf denen der Prozess 3CXDesktopApp.exe läuft, und dokumentieren Sie die Version, den Hash und das Datum der letzten Aktualisierung. Berichten zufolge sind die Versionen 18.12.407 und 18.12.416 für Windows und 18.11.1213 für MacOS betroffen.

Typische Installationspfade sind:
*\ProgrammDaten\3CXPhone (Windows)
*\AppData\Local\Programme\3CXDesktopApp (Windows)
/Programme/3CX Desktop App.app (MacOS)

  • Falls verdächtige Aktivitäten von diesen Hosts beobachtet werden, sollten Sie eine Netzwerkisolierung in Erwägung ziehen, bis detaillierte Herstelleranweisungen von 3CX herausgegeben wurden

Was Sophos MDR (Managed Detection and Response) unternimmt 

Die SophosLabs untersuchen aktiv die Möglichkeiten zur Erkennung von Aktivitäten, die auf diese Software zurückzuführen sind. Darüber hinaus verfügt das Sophos MDR-Team über eine Reihe von verhaltensbasierten Erkennungen, die Folgeaktivitäten erkennen.

MDR führt weiterhin Threat Hunts durch, um potenzielle Indikatoren für verdächtige Aktivitäten und Anzeichen für Post-Exploitation-Taktiken zu identifizieren. Wir werden Sie benachrichtigen, wenn verdächtiges oder bösartiges Verhalten in Ihren Beständen beobachtet wird. Das Sophos MDR Threat Intelligence-Team wird weiterhin private und öffentliche Bedrohungsdaten überwachen.

Quellen