Der Vorfall
Ende März 2023 entdeckten Sicherheitsforscher von CrowdStrike und SentinelOne, dass die offizielle Desktop-Anwendung des VoIP-Anbieters 3CX mit Schadsoftware verseucht war. 3CX ist ein weit verbreitetes Telefonie- und Kommunikationssystem, das von über 600.000 Unternehmen weltweit eingesetzt wird, darunter Fluggesellschaften wie American Airlines, der Automobilhersteller BMW, der National Health Service in Großbritannien und zahlreiche Behörden.
Die trojanisierte Version der 3CX-Desktop-App (Versionen 18.12.407 und 18.12.416 für Windows sowie entsprechende macOS-Versionen) wurde über die offiziellen 3CX-Download-Server verteilt und trug eine gültige digitale Signatur. Nutzer, die die App installierten oder aktualisierten, erhielten unwissentlich einen Info-Stealer, der Browserdaten, gespeicherte Anmeldedaten und Systeminformationen auslesen konnte.
Der Angriff wurde der nordkoreanischen Hackergruppe Lazarus (auch UNC4736 genannt) zugeschrieben. Besonders bemerkenswert: Die Kompromittierung von 3CX war selbst das Ergebnis eines vorangegangenen Supply-Chain-Angriffs. Ein 3CX-Mitarbeiter hatte die Trading-Software X_TRADER der Firma Trading Technologies installiert, die ebenfalls kompromittiert worden war. Es handelte sich also um einen Supply-Chain-Angriff innerhalb eines Supply-Chain-Angriffs – ein bisher einzigartiger Vorfall.
Wie der Angriff funktionierte
Die Angriffskette war mehrstufig und außergewöhnlich raffiniert:
Stufe 1 – Kompromittierung von X_TRADER: Die Lazarus-Gruppe kompromittierte zunächst die Trading-Software X_TRADER der Firma Trading Technologies. Ein 3CX-Mitarbeiter installierte diese Software auf seinem privaten Rechner, wodurch die Angreifer Zugang zu seinen Anmeldedaten erhielten.
Stufe 2 – Eindringen in die 3CX-Infrastruktur: Mit den gestohlenen Zugangsdaten drangen die Angreifer in die Build-Infrastruktur von 3CX ein. Sie manipulierten den Kompilierungsprozess so, dass zwei schädliche DLL-Dateien (ffmpeg.dll und d3dcompiler_47.dll) in die Desktop-App eingeschleust wurden.
Stufe 3 – Verteilung über offizielles Update: Die manipulierte App wurde über die regulären 3CX-Update-Kanäle verteilt. Sie trug eine gültige digitale Signatur von 3CX und wurde von den meisten Sicherheitstools als vertrauenswürdig eingestuft.
Stufe 4 – Verzögerte Aktivierung: Nach der Installation wartete die Schadsoftware sieben Tage, bevor sie aktiv wurde. Diese Verzögerung sollte die zeitliche Zuordnung zum Update erschweren und forensische Analysen behindern.
Stufe 5 – Nachladen der Payload: Die manipulierte ffmpeg.dll extrahierte verschlüsselten Shellcode aus d3dcompiler_47.dll. Dieser Shellcode kontaktierte GitHub-Repositories, in denen die Angreifer verschlüsselte Icon-Dateien hinterlegt hatten. Aus diesen Dateien wurden die Adressen der eigentlichen Command-and-Control-Server extrahiert.
Stufe 6 – Datendiebstahl: Der finale Payload – ein Info-Stealer namens ICONIC Stealer – sammelte Browserdaten aus Chrome, Edge, Firefox und Brave. Dazu gehörten gespeicherte Passwörter, Cookies, Browserverlauf und Autofill-Daten. Bei ausgewählten, besonders interessanten Zielen wurde zusätzlich eine Backdoor namens Gopuram installiert, die den Angreifern vollständige Kontrolle über das System gab.
Warum Virenscanner versagten
Der 3CX-Angriff demonstrierte erneut die Machtlosigkeit herkömmlicher Sicherheitssoftware gegen Supply-Chain-Kompromittierungen:
Die trojanisierte App trug eine gültige Signatur von 3CX. Sicherheitstools wie Windows Defender, Kaspersky und andere erkannten sie zunächst nicht als schädlich. Einige Sicherheitsprodukte erkannten die manipulierten DLLs zwar nach einiger Zeit als verdächtig, doch die Warnungen wurden von vielen Nutzern ignoriert – schließlich handelte es sich ja um eine offizielle, signierte Anwendung. Manche Administratoren fügten die 3CX-App sogar zu den Ausnahmelisten ihrer Scanner hinzu, um die „Fehlalarme" zu unterdrücken.
Die siebentägige Verzögerung zwischen Installation und Aktivierung sorgte dafür, dass selbst verhaltensbasierte Erkennung versagte. In der ersten Woche verhielt sich die App völlig normal. Erst danach begann die Kommunikation mit den C2-Servern – und auch diese war als regulärer HTTPS-Verkehr getarnt.
Die Nutzung von GitHub als Zwischenstation für die C2-Adressen war ein weiterer Trick: Verbindungen zu GitHub sind in Unternehmensnetzwerken üblicherweise erlaubt und werden nicht als verdächtig eingestuft.
So hätte Deep Freeze geschützt
Eine eingefrorene Systempartition hätte den 3CX-Angriff an mehreren kritischen Stellen unterbrochen:
Die trojanisierte App wird beim Neustart entfernt: Selbst wenn die kompromittierte 3CX-Version installiert wurde – nach dem nächsten Reboot wäre sie verschwunden und durch die saubere Originalversion ersetzt worden. Die siebentägige Wartezeit der Malware wäre damit irrelevant, denn auf einem täglich neu gestarteten System hätte die Schadsoftware nie ihren Aktivierungszeitpunkt erreicht.
Gestohlene Browserdaten werden zurückgesetzt: Der ICONIC Stealer zielte auf Browserdaten ab – gespeicherte Passwörter, Cookies, Session-Tokens. Auf einem eingefrorenen System werden diese Daten bei jedem Neustart zurückgesetzt. Selbst wenn der Stealer einmal aktiv geworden wäre, hätte er beim nächsten Versuch nur die Standarddaten vorgefunden.
Die Backdoor verliert ihre Persistenz: Die Gopuram-Backdoor, die bei ausgewählten Zielen installiert wurde, benötigte dauerhaften Zugriff auf das Dateisystem, um ihre Funktionalität aufrechtzuerhalten. Deep Freeze eliminiert jede Form von Persistenz – keine Registry-Einträge, keine zusätzlichen DLLs, keine manipulierten Autostart-Einträge überleben den Neustart.
Kettenreaktion wird gestoppt: Der ursprüngliche Angriff begann damit, dass ein Mitarbeiter kompromittierte Software auf seinem Rechner installierte. Wäre dieser Rechner mit Deep Freeze geschützt gewesen, hätten die Angreifer niemals dauerhaften Zugang zu den Anmeldedaten erlangt, die sie für den Einbruch in die 3CX-Infrastruktur brauchten.
Die Lehre
- Ein Supply-Chain-Angriff kann einen weiteren auslösen. Der 3CX-Fall zeigt: Die Kompromittierung eines einzigen Softwareprodukts kann als Sprungbrett für Angriffe auf andere Unternehmen und deren Kunden dienen. Deep Freeze unterbricht diese Ketten, indem keine Schadsoftware dauerhaft auf Deinem System verbleibt.
- Sieben Tage Wartezeit bedeuten nichts, wenn Dein System jeden Tag in den Originalzustand zurückkehrt. Was als Tarnmechanismus gedacht war, wird bei einer eingefrorenen Systempartition zum Todesurteil für die Malware.
- 600.000 Unternehmen vertrauten einer signierten App – und dieses Vertrauen wurde missbraucht. Dein Schutzkonzept darf nicht davon abhängen, dass Software-Hersteller ihre Build-Systeme perfekt absichern.
- Ausnahmelisten in Virenscannern sind Einladungen für Angreifer. Jedes Tool, das Du von der Überwachung ausschließt, wird zum potenziellen Angriffsvektor. Deep Freeze braucht keine Ausnahmelisten – es setzt einfach alles zurück.
- Browserdaten sind das neue Gold. Session-Cookies, gespeicherte Passwörter, Autofill-Daten – ein einziger erfolgreicher Info-Stealer kann Dutzende Konten kompromittieren. Eine eingefrorene Systempartition sorgt dafür, dass diese Daten nicht dauerhaft abrufbar bleiben.