Windows-app zakelijke voip-dienst 3CX verspreidt malware na supplychainaanval

De officiële desktopclient van voip-dienst 3CX is door hackers overgenomen en verspreidt malware na een supplychainaanval. Dat bevestigt het bedrijf op donderdag. 3CX roept gebruikers op om zijn webapp te gebruiken en werkt aan een oplossing.

3CX bevestigt de hack op zijn website. Het bedrijf zegt dat Update 7 van zijn Windows-desktopapp 'een beveiligingsprobleem bevat'. Het gaat daarbij om versienummers 18.12.407 en 18.12.416. Het probleem lijkt te zitten in een van de gebundelde library's die 3CX via Git in zijn Windows-app heeft gecompileerd. Het probleem gold voor gebruikers die de app installeerden met de officiële installer en gebruikers die hun bestaande installatie updateten.

Het bedrijf zegt de problemen te onderzoeken en komt later op donderdag met meer details. De domeinen die door de gecompromitteerde library's zijn benaderd, zijn volgens 3CX gerapporteerd. De meeste daarvan zijn inmiddels uit de lucht. Een GitHub-repository die vermeld wordt in de domeinen, is daarnaast offline gehaald. Het bedrijf spreekt van een gerichte aanval van een advanced persistent threat, 'misschien zelfs state sponsored'. Ook CrowdStrike spreekt van een mogelijke aanval door staatshackers.

De aanvallers hebben volgens 3CX een complexe supplychainaanval uitgevoerd. De geïnfecteerde desktopapp zou het eerste stadium in een keten van aanvallen zijn. Hackers zouden bij bepaalde gebruikers een nieuwe payload verspreid hebben in de vorm van een geïnfecteerde dll. Die zou vervolgens gebruikt kunnen worden om systeem- en browserinformatie uit Chrome, Edge, Brave en Firefox te stelen, zegt securitybedrijf SentinelOne. 3CX stelt dat dat bij de meeste gebruikers niet is gebeurd, ook als ze wel een geïnfecteerde client geïnstalleerd hadden. In veel gevallen zou antivirussoftware de geïnfecteerde client ook geblokkeerd hebben. De precieze impact is nog niet bekend.

3CX zegt momenteel te werken aan een nieuwe Windows-app zonder het beveiligingsprobleem. Het bedrijf gaat ook een nieuw certificaat uitgeven. Dat kan tenminste 24 uur duren, zo meldt 3CX. In de tussentijd raadt het bedrijf gebruikers aan om zijn PWA-app te gebruiken. Dat is een app die geen installatie vereist en volledig in een webbrowser draait.

3CX biedt onder meer een telefoonsysteem voor gebruik in kantoren. Het 3CX Phone System wordt gebruikt door meer dan 600.000 bedrijven en heeft in totaal 12 miljoen gebruikers. Onder klanten van 3CX vallen bedrijven als McDonald's, Coca-Cola, Pepsi, IKEA, het Massachusetts Institute of Technology en de Britse NHS.

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 30-03-2023 11:15
38 • submitter: neonite

30-03-2023 • 11:15

38

Submitter: neonite

Lees meer

Microsoft maakt cloudlogging gratis voor zakelijke klanten na hackerophef
Microsoft maakt cloudlogging gratis voor zakelijke klanten na hackerophef Nieuws van 20 juli 2023
Symantec: aanval achter 3CX-hack raakte ook cruciale, Europese infrastructuur
Symantec: aanval achter 3CX-hack raakte ook cruciale, Europese infrastructuur Nieuws van 23 april 2023
Lazarus-hackers richten zich op IT'ers met Linux-malware verhuld als vacature
Lazarus-hackers richten zich op IT'ers met Linux-malware verhuld als vacature Nieuws van 21 april 2023
3CX brengt nieuwe Electron-app voor desktop uit na eerdere supplychainaanval
3CX brengt nieuwe Electron-app voor desktop uit na eerdere supplychainaanval Nieuws van 7 april 2023
NS meldt datalek bij deelnemers van klanttevredenheidsonderzoeken
NS meldt datalek bij deelnemers van klanttevredenheidsonderzoeken Nieuws van 28 maart 2023
Amsterdamse Waterleidingduinen meldt datalek met kopers van wandelroutetickets
Amsterdamse Waterleidingduinen meldt datalek met kopers van wandelroutetickets Nieuws van 15 maart 2023
Securitybedrijf Acronis erkent datalek met 12GB aan bestanden van klant
Securitybedrijf Acronis erkent datalek met 12GB aan bestanden van klant Nieuws van 10 maart 2023
GoDaddy: hackergroep installeerde malware op hostingservers die sites redirectte
GoDaddy: hackergroep installeerde malware op hostingservers die sites redirectte Nieuws van 17 februari 2023
Google haalt Roblox-extensie SearchBlox offline wegens malware
Google haalt Roblox-extensie SearchBlox offline wegens malware Nieuws van 25 november 2022
Microsoft bevestigt dat het een rootkit-driver ondertekende
Microsoft bevestigt dat het een rootkit-driver ondertekende Nieuws van 27 juni 2021
Meer producten en artikelen
Beveiliging en antivirus Networking en security Malware

Reacties (38)

-Moderatie-faq
38
38
19
5
0
18
Wijzig sortering
robcoenen 30 maart 2023 13:26
Voor de IT-dienstverleners die de installatie willen verwijderen via Powershell:

Stop-Process -name 3CX* -Force
$application = Get-WmiObject -Class Win32_Product -Filter "Name = '3CX Desktop APP'"
$application.Uninstall()
Remove-Item C:\Users\$env:UserName\AppData\Roaming\3CXDesktopApp -Recurse
Remove-Item C:\Users\$env:UserName\AppData\Local\Programs\3CXDesktopApp -Recurse

Verder bij voorkeur de volgende mappen verwijderen:
Windows
C:\ProgramData\3CX\Instance1\Data\Http\electron\osx
C:\ProgramData\3CX\Instance1\Data\Http\electron\windows

Linux
/var/lib/3cxpbx/Instance1/Data/Http/electron/osx
/var/lib/3cxpbx/Instance1/Data/Http/electron/windows
ConZito @robcoenen30 maart 2023 15:30
Het is belangrijk om te vermelden dat deze mappen verwijzen naar de mappen op de Windows of Linux 3CX-servers (indien je deze zelf host). Wanneer je inlogt op je 3CX-webomgeving als gebruiker, kun je de 3CX Desktop App downloaden. Afhankelijk van het besturingssysteem, wordt de app gedownload uit een van deze mappen. Het is daarom aan te raden om deze bestanden nu te verwijderen. Houd er wel rekening mee dat het achterliggende proces, dat deze bestanden bijwerkt door de binaries op te halen bij 3CX, ook moet worden gestopt.

Hoewel 3CX het niet aanbeveelt om deze bestanden te verwijderen, heeft het bedrijf bijna een week nodig gehad om ervan overtuigd te raken dat er iets mis was. Dus hun adviezen kun je best wel met een korreltje zout nemen. Sowieso kun je genoeg terugvinden over de uitlatingen van en gedragingen van Nick Galea de CEO.
Barryvdh 30 maart 2023 13:46
Let op, ook de MacOS versies zijn geïnfecteerd. Dit stond niet in de originele blogpost maar is later toegevoegd:
Electron Mac App version numbers 18.11.1213, 18.12.402, 18.12.407 & 18.12.416 are also affected.
Ik kan niet helemaal vinden of de Mac versies daadwerkelijk actieve malware bevatten, of alleen een kwetsbaarheid bevatten. Maar voor de zekerheid toch verwijderen en je Mac her-installeren / virusscanner draaien..

[Reactie gewijzigd door Barryvdh op 22 juli 2024 15:23]

metalhammer @Barryvdh30 maart 2023 13:53
Deze pagina suggereerd dat het enkel de intel mac client is:
https://objective-see.org/blog/blog_0x73.html
Sirolf34 @metalhammer30 maart 2023 15:28
Ik heb vanochtend ook de Malware waarschuwing van mijn MBA M1 gekregen wat betreft de 3CX client.
Kek @Sirolf3430 maart 2023 17:22
Van macos zelf? Of van een losse antivirus scanner?
Sirolf34 @Kek31 maart 2023 07:47
Zo te zien van MacOC zelf. Deze krijg ik maar dan dus over 3CX. https://support.apple.com...r-alert-malicious-app.png
DJSmiley 30 maart 2023 15:15
CSIRT-DSP is er ook mee bezig en heeft diverse bedrijven al actief benaderd

Inmiddels hebben ze ook een mail verstuurd

[Reactie gewijzigd door DJSmiley op 22 juli 2024 15:23]

duqu @DJSmiley30 maart 2023 17:47
Goed bezig:)

[Reactie gewijzigd door duqu op 22 juli 2024 15:23]

DutchKevv 30 maart 2023 11:27
in een van de gebundelde library's die 3CX via Git in zijn Windows-app heeft gecompileerd
Deze zin snap ik niet helemaal...

Via git word niks compileerd, het is een versie beheer tool. Of word git 'mee compileerd' in de app? Wat me ook erg sterk lijkt voor een VOIP app.

Zou het zelfde zijn als je zegt, via Google drive is een app compileerd... Toch?

[Reactie gewijzigd door DutchKevv op 22 juli 2024 15:23]

hiostu @DutchKevv30 maart 2023 11:30
Je kunt GIT projecten in je eigen project meenemen. Dus je compiler haalt de code automatisch uit Git en compileert dat mee als onderdeel van je eigen programma. Als dus het oorspronkelijke Git project wordt aangepast en je compileert dan neem je die aanpassingen mee in je eigen programma. Daarom moet je altijd heel voorzichtig zijn welke externe Git projecten je gebruikt in je eigen solution.
DutchKevv @hiostu30 maart 2023 13:16
Akoord goed punt.

Maar dan kun je denk ik > 99% wel zo benoemen, gezien alle (grote) libs wel leunen op andere libs, die op git(hub) / bitbucket etc staan.

Zou het dan persoonlijk 'externe depencency' noemen. Maar fair enough (y)

[Reactie gewijzigd door DutchKevv op 22 juli 2024 15:23]

JackPoint @DutchKevv30 maart 2023 14:10
Dat klopt, daarom is daar weer tooling voor zoals JFrog Xray die de externe libs scannen op kwetsbaarheden.
HenkEisDS 30 maart 2023 11:37
3CX VOIP clients worden vaak rebranded aangeboden aan eindgebruikers, dus het zal misschien niet direct duidelijk zijn of je een 3CX client gebruikt. Ik weet alleen niet hoe dit rebranding proces in zijn werk gaat. Als dit wat handwerk vereist van je VOIP provider dan ben je waarschijnlijk niet vatbaar geweest voor deze aanval, tenzij ze heel kort op de bal zitten. Als de updates nog steeds automatisch van 3CX komen en deze client het rebranding pakket (stelt niets voor denk ik, logootje en naam) vervolgend download bij je voipprovider dan wel.

Iemand hier ervaring mee?

3CX is volgens mij één van de meest gebruikte VOIP clients, dus dit zal een hoop mensen raken.

Edit: Dank, geen idee hoe ik erbij kwam dat dit bij 3CX het geval is.

[Reactie gewijzigd door HenkEisDS op 22 juli 2024 15:23]

Phthisicus @HenkEisDS30 maart 2023 13:49
3CX heeft geen rebranding. Dit is ook hun model.
The 3CX products will be branded as 3CX and this will not change, sorry.
Nick Galea
CEO
etiennebruines 30 maart 2023 11:37
Ik ben benieuwd welke andere software er (behalve 3CX) betroffen is. Als het inderdaad een upstream dependency is, lijkt het me niet dat alleen 3CX er last van heeft.
neonite @etiennebruines30 maart 2023 11:52
Ligt eraan, als Dependency Confusion is toegepast, dan kan het zijn dat de aanvallers zich hebben gericht op een lokale dependency.
Gamebuster @neonite30 maart 2023 14:43
Damn dat is een mooi hack.
ConZito @etiennebruines30 maart 2023 15:34
Aan de hand van onderzoek dat is gedaan (niet door 3CX) is gebleken dat het de ffmpeg.dll betreft die door heel veel applicaties wordt gebruikt. Dat is verder niet gek, je kan ook videobellen met de 3CX Desktop App.

Er zijn vooralsnog geen aanwijzingen dat de ffmpeg.dll in andere producten voor problemen zorgt. Dat doet mij in ieder geval vermoeden dat er bij 3CX iets mis is gegaan. Gezien hun track-record is dat goed mogelijk.

Zoals dit bijvoorbeeld:
https://medium.com/@fryco...the-internet-d0096339dd88

[Reactie gewijzigd door ConZito op 22 juli 2024 15:23]

Fanman 30 maart 2023 14:12
Op dwingend verzoek is dit bericht verwijderd.

[Reactie gewijzigd door Fanman op 22 juli 2024 15:23]

iceme @Fanman30 maart 2023 14:22
Dat is best nieuwswaardig gezien het verleden van Dustin en het verhaal bij de gemeente Hof van Twente
moppentappers @Fanman30 maart 2023 15:18
Waar is het nieuws over Dustin te vinden? Daar ben ik wel benieuwd naar.
lolsra @moppentappers30 maart 2023 17:25
Relaties hebben een email ontvangen waar men uitleg geeft.
Yeebo @lolsra30 maart 2023 18:42
Care to share?
Fanman @Yeebo31 maart 2023 11:07
Op dwingend verzoek is dit bericht verwijderd.

[Reactie gewijzigd door Fanman op 22 juli 2024 15:23]

General_Jeno @Fanman30 maart 2023 15:51
Waar heb je dit gelezen? Ik vind er nergens iets over terug?
D_Jeff 30 maart 2023 11:29
Meer info als samenvatting in deze reddit:
https://www.reddit.com/r/...compromised_with_malware/
Mr_0izO 30 maart 2023 12:49
Ik ben benieuwd bij hoeveel bedrijven dit al ongemerkt heeft gedraaid. SentinelOne had dit de 24ste al opgemerkt d.m.v. Behavioral AI.
Phthisicus @Mr_0izO30 maart 2023 13:51
https://www.sentinelone.c...ware-supply-chain-attack/

Voor de geintereseerde.
Phthisicus 30 maart 2023 13:58
As we actively analyze the malicious installer, we see an interesting multi-stage attack chain unfolding. The 3CXDesktopApp application serves as a shellcode loader with shellcode executed from heap space. The shellcode reflectively loads a DLL, removing the “MZ” at the start. That DLL is in turn called via a named export ‘DllGetClassObject’ with the following arguments:

1200 2400 "Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko) 3CXDesktopApp/18.11.1197
Chrome/102.0.5005.167 Electron/19.1.9 Safari/537.36”
as well as the size of this User-Agent string.

This stage will in turn download icon files from a dedicated Github repository:

https://github[.]com/IconStorages/images
These ICO files have Base64 data appended at the end. That data is then decoded and used to download another stage. At this time, the DLL appears to be a previously unknown infostealer meant to interface with browser data, likely in an attempt to enable future operations as the attackers sift through the mass of infected downstream customers. We have issued a takedown request for this repository.

The final stage (cad1120d91b812acafef7175f949dd1b09c6c21a) implements infostealer functionality, including gathering system information and browser information from Chrome, Edge, Brave, and Firefox browsers. That includes querying browsing history and data from the Places table for Firefox-based browsers and the History table for Chrome-based browsers.
het betreft de desktop app gebaseerd op de PWA. Niet de PWA zelf.

De malware haalt in Fase 2 nieuwe malware op. Deze URI'S zijn afgelopen nacht al offlline gehaald.
URL github[.]com/IconStorages/images
Email cliego.garcia@proton[.]me
Email philip.je@proton[.]me
SHA-1 cad1120d91b812acafef7175f949dd1b09c6c21a
SHA-1 bf939c9c261d27ee7bb92325cc588624fca75429
SHA-1 20d554a80d759c50d6537dd7097fed84dd258b3e
URI https://www.3cx[.]com/blog/event-trainings/
URI https://akamaitechcloudservices[.]com/v2/storage
URI https://azureonlinestorage[.]com/azure/storage
URI https://msedgepackageinfo[.]com/microsoft-edge
URI https://glcloudservice[.]com/v1/console
URI https://pbxsources[.]com/exchange
URI https://msstorageazure[.]com/window
URI https://officestoragebox[.]com/api/session
URI https://visualstudiofactory[.]com/workload
URI https://azuredeploystore[.]com/cloud/services
URI https://msstorageboxes[.]com/office
URI https://officeaddons[.]com/technologies
URI https://sourceslabs[.]com/downloads
URI https://zacharryblogs[.]com/feed
URI https://pbxcloudeservices[.]com/phonesystem
URI https://pbxphonenetwork[.]com/voip
URI https://msedgeupdate[.]net/Windows
DigitalExorcist @Phthisicus30 maart 2023 16:54
Die Github repo bestaat ook niet meer trouwens

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq