Jamf Blog
Wrench stuck between cogs, causing friction.
April 20, 2023 Von Jamf Threat Labs

3CX Angriff in die Lieferkette

Neu entdeckter Angriff auf die Lieferkette, der die 3CX-Softphone-App betrifft, die von Millionen von Nutzer*innen weltweit verwendet wird. In diesem Blog erörtern die Jamf Threat Labs, wie die App kompromittiert wurde, was sie tut und wie Sie sie in Ihrem Netzwerk erkennen können.

Am 29. März 2023 beobachtete Jamf Threat Labs zusammen mit verschiedenen anderen Anbieter*innen einen gezielten Angriff mit der Bezeichnung Smoothoperator auf 3CX Desktop App, eine Softphone-App von 3CX, die von Millionen von Anwender*innen auf der ganzen Welt genutzt wird. Nationale Bedrohungsakteur*innen haben 3CX mit einem Angriff auf die Lieferkette angegriffen, der mehrere Builds der App kompromittierte.

Unter macOS enthielten diese Builds eine bösartige Dylib namens libffmpeg. dylib, die zur Laufzeit dynamisch geladen wird und eine Reihe von Operationen auf den Systemen der Opfer durchführt. Jamf Threat Labs hat sofort Maßnahmen gegen diese Bedrohung ergriffen und die Ausführung der kompromittierten Apps (und die Verbindungen zu bekannten schädlichen Domänen, die mit dem Angriff verbunden sind) blockiert, um unsere Kund*innen zu schützen.

Der 3CX-Angriff über die Lieferkette ist eine ernsthafte Bedrohung für die macOS Sicherheit, da der Angriff weit verbreitet und sehr raffiniert ist. In Anbetracht der Art dieses Angriffs auf die Lieferkette wurden die infizierten Builds durch typische Aktualisierungsverfahren bereitgestellt und nutzten das Vertrauen, das bereits durch die ursprüngliche, genehmigte App geschaffen wurde. Zum Zeitpunkt unserer ersten Analyse war die kompromittierte 3CX Desktop App von 3CX signiert und von Apple mit der teamid 33CF4654HL beglaubigt. Dies ermöglicht seine Ausführung auf dem Betriebssystem. Apple hat den notariell beglaubigten Code inzwischen widerrufen.

Die bösartige Dylib libffmpeg.dylib enthält verschiedene Anti-Analyse-Techniken, darunter XOR-verknüpfte Zeichenfolgen, die eine statische Analyse erschweren. Einige dieser XOR-verknüpften Zeichenfolgen, die im Abschnitt Kompromissindikatoren (IoC) aufgeführt sind, werden verwendet, um verschiedene Dateien unter dem Pfad ~/Library/Application Support/3CX Desktop App/ zu erstellen. Die XOR-verknüpften Zeichenfolgen enthalten auch Domänennamen, die in die bösartige Dylib eingebettet sind.

Die Malware sammelt Informationen vom Host des Opfers, einschließlich der Betriebssystemversion und des Computernamens, die dann in eine verschlüsselte Datei mit dem Namen .main_storage geschrieben werden. Schließlich stellt er eine Verbindung zu den Kontroll- und Befehlssystemen (C2) des Angreifers/der Angreiferin her, um eine Nutzlast der zweiten Stufe anzufordern, die den Namen UpdateAgent trägt und sich im selben Verzeichnis für Appunterstützung befindet. Eine ausführliche technische Analyse der Smoothoperator-Malware finden Sie unter im Blog von Patrick Wardle.

Jamf schützt sowohl vor bekannten kompromittierten Versionen der 3CX-Apps als auch vor der Second-Stage-Komponente der Angreifer-Malware. Kund*innen können ihre Umgebung auf Regeln zur Bedrohungsabwehr überwachen, die als C3x, Smoothoperator oder smoothoperator_a erkannt werden.

Wir werden diesen Blog-Beitrag aktualisieren, sobald wir mehr Details über diese neue Bedrohung erfahren.

Neu auftretende Bedrohungen sind für Jamf Threat Labs nichts Neues.

Das bedeutet, dass Jamf Protect Kund*innen sicher sein können, dass ihre Endpunkte gegen neue Bedrohungen und Angriffe geschützt sind.

Jamf Threat Labs
Jamf
Jamf Threat Labs besteht aus erfahrenen Bedrohungsforscher*innen, Cybersecurity-Expert*innen und Datenwissenschaftler*innen, die über Fähigkeiten in den Bereichen Eindringungstests, Netzwerküberwachung, Malware-Forschung und App-Risikobewertung verfügen und sich in erster Linie auf Apple und mobile Ökosysteme konzentrieren.
Jamf Blog abbonieren

Industrietrends, Apple Neuigkeiten und das Neueste von Jamf, direkt in Ihrer Inbox.

Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.