Am Donnerstag vergangener Woche wurden Lieferkettenangriffe auf die Softphone-Software von 3CX bekannt. Die VoIP-Software nahm Kontakt zu Command-and-Control-Servern mit unverdächtig anmutenden, aber lediglich an populäre Namen angelehnte Domain-Namen auf und lud von dort weiteren Schadcode wie Remote-Shells und Info-Stealer nach. Das BSI hatte am Freitag dann die IT-Bedrohungslage auf Stufe "3 / Orange" angehoben.

Aber es ist zu befürchten das beim Informationsklau evetuell noch nicht Schluss ist: Die vermutlich nordkoreanischen Angreifer der Cybergang Lazarus haben die VoIP-Software von 3CX nicht nur mit einem datenstehlenden Trojaner ausgestattet, sondern könnten infizierte Systeme noch mit einer Backdoor versehen haben.

3CX hat inzwischen zusammen mit Nextron Systems eine erweiterte Version des Scanners Thor Lite bereitgestellt. Der soll nicht nur die bislang bekannten nachgeladenen Dateien aufspüren, sondern in den System-Logs nach Indizien einer aktiven Infektion suchen. IT-Verantwortliche, die 3CX-Software einsetzen, können und sollten damit ihre Systeme auf einen Befall untersuchen.

Quelle: heise online