Allgemein

3CX Update 8

Es gibt neues zum Update 8, welches nicht nur Einrichtungen erleichtern soll, sondern auch einen neuen Web Client mit Admin Dashboard mit sich bringt. SharePoint kann nun zudem für Backups und Aufzeichnungen genutzt werden . Weiterhin gibt es Neues zum TAPI- Client, Plantronics Spokes SDK ist zurück und Kontakte aus CRM oder Microsoft365 können nun einfacher hinzugefügt sowie in der 3CX gesucht werden.

Neues zur Microsoft 365 Integration

Mit dem neuen Update 8 soll die Einrichtung der Office 365-Integration vereinfacht werden. Die Erstellung einer ID und der Link fallen nun weg, anders als zuvor wird man automatisch auf die Seite zur Authentifizierung weitergeleitet. Verbessert wurde zudem die Kontakt- und Benutzersynchronisierung, auch die Zertifikate werden automatisch verlängert.

Neu hinzu kommt, dass SharePoint nun für Backups und Aufzeichnungen verwendet werden kann.

Wer bereits die Integration eingerichtet hat, muss die App nur nach dem Upgrade erneut provisionieren.

Neues zur CRM

Kontakte können nun einfacher hinzugefügt werden, ein Kontakt kann nun über einen eingehenden Anruf zur CRM hinzugefügt werden. Umgekehrt können die Kontakte aus Ihrer CRM dem Webclient hinzugefügt werden.

Multiline- TAPI

Die Multiline- TAPI kann jetzt auch über die Desktop App installiert werden und die CRM Funktion aktiviert oder deaktiviert werden.

Vereinfachung der Einrichtung von Telefonen

Neuerdings soll auch die Konfiguration von älteren Modellen via HTTPS-Provisionierungs-URL möglich sein, für Geräte wie Polycom, Cisco und Aastra. Auch die Anbindung von Avaya Telefonen soll dann möglich sein.

Weitere Neuerungen

Auch im Webclient gibt es Neuerungen für den Admin. Der Lizenzschlüssel inkl. dessen Informationen kann nun auch über den Webclient eingesehen werden, geprüft und aktualisiert werden, womit man sich nicht extra auf die 3CX Adminkonsole einloggen muss.

Für größere Unternehmen die gerne auf das Hosting bei 3CX zurück kommen möchten, gibt es gute Neuigkeiten. Die Grenze Hosted by 3CX wurde nun von 32SC auf 265Sc angehoben.

Zusätzlich wurde die Liste der SIP-Trunk Anbieter ergänzt, alle unterstützten und gelisteten Provider finden Sie auch hier: https://www.3cx.de/partners/sip-trunks/

by Larissa Prause

Rechtssicheres Aufzeichnen von Gesprächen mit 3CX

Die rechtssichere Aufzeichnung von Telefongesprächen ist für viele Branchen ein wichtiger Bestandteil des Tagesgeschäfts. Dabei reichen die Gründe für einen Mitschnitt von der Verbesserung der Performance bei Supportgesprächen, der Kundegewinnung bis hin zur rechtssicheren Dokumentation von mündlich vereinbarten Verträgen.

Für telefonische Vertragsabschlüsse stellt der Gesetzgeber strenge Anforderungen und es gilt dringend zu beachten, dass jeder Mitschnitt eines Telefongesprächs unbedingt der Einwilligung bedarf. Denn wer unbefugt das „nicht öffentlich gesprochene Wort eines anderen auf einen Tonträger aufnimmt“ kann mit einer Freiheitsstrafe von bis zu drei Jahren oder mit Geldstrafe bestraft werden. Bei einem Telefonat handelt es sich unstreitig um ein „nicht öffentlich gesprochenes Wort“.

Eine DSGVO-konforme Speicherung der Tonaufnahme bietet die Ritter Technologie im eigenen Rechenzentrum.

3CX-Telefonanlagen bieten bei der Einwilligung zur Aufzeichnung automatisiert vor Gesprächsbeginn dem Kunden die Möglichkeit per DMTF-Tasteneingabe diese Einwilligung zu übermitteln. Der 3CX Benutzer kann in der 3CX-App bequem Aufzeichnungen manuell starten und stoppen. Diese Aufzeichnungen können dann in 3CX bequem eingesehen und verwaltete werden. Es können auch automatische alle Gespräche oder auch nur alle externen Gespräche aufgezeichnet werden. Das manuelle Starten und Beenden von Aufzeichnungen ist allerdings der Enterprise-Version vorbehalten.

Telefongespräche rechtssicher aufzuzeichnen -  (Opt-In) des Anrufers/Angerufenen in den 3CX-Einstellungen:

by Volker Diermann

Neue Version und Änderungen zur Unterstützung der 3CX iOS App

Neben der neuen verbesserten 3CX iOS App hat 3CX auch bekannt gegeben, dass die iOS-App demnächst nur noch ab der iOS 15 Version unterstützt wird. Dies tritt dann ab der neuen V18, Update 8 in Kraft.

Unterstütze Modelle

Wer ältere iOS Versionen im Einsatz hat, muss damit rechnen dass es weder Updates noch neue Funktionen geben wird. Zudem entfallen dann neue Fehlerbehebungen und Sicherheitspatches für die Apps.

Zu den unterstützten Modellen zählen:

• iPhone 6S, iPhone SE und höher
• iPad Air2, iPad Air 3 und neuere Generationen

Bitte halten Sie Ihre Anlage und Apps immer auf dem neuesten Stand, um Sicherheitsrisiken zu vermeiden und um eine störfreie Nutzung des Systems zu garantieren.

Neuheiten der verbesserten 3CX iOS App

Die neue Version ist nicht nur schneller sondern hat auch einige Funktionserweiterungen. Unter anderem wurde die Navigation vereinfacht. Während des Gesprächs kann man den Dialer verlassen und zum vorherigen Bildschirm zurückkehren, um z.B. zu chatten oder schnell die Rufliste einzusehen. Ihren Anruf zeigt die App oben weiterhin als grünen Balken an, mit einem Klick auf diesen gelangt man erneut zurück zum Gespräch/Dialer.

Weiterhin lässt sich während des Gesprächs oder eines eingehenden Anrufs das Profilbild des anderen Benutzers anzeigen. Beim Anwählen der Person kann man zudem auch direkt den Status unter dem Profilbild einsehen (nicht stören, abwesend usw.).

Bei mehreren Anrufen haben Sie nun eine bessere Übersicht, die die Verwaltung vereinfachen soll. Hier gibt es nun eine scrollbare Liste mit allen Anrufern, Profilbilder helfen Ihnen nun den Benutzer schneller zu identifizieren. Ebenfalls wird dabei, rechts neben dem User, der Status angezeigt.

Weiterhin wurden etwaige Kompatibilitätsprobleme mit iOS 14 und iOS 15 behoben.

by Larissa Prause

3CX Routen von eingehenden Anrufen - Ausnahmen erstellen/ VIP Nummern

Sollen gewisse Nummern auch außerhalb der Geschäftszeiten oder an bestimmten Tagen durchgestellt werden, kann man dies am besten in den eingehenden Regeln erstellen. Erstellen Sie hierzu einfach eine  rufnummerbasierte eingehende Regel (CID).

Gehen Sie hierzu auf der Adminkonsole auf eingehende Regeln und wählen Sie CID- Regel hinzufügen aus. Geben Sie den gewünschten Namen der Regel ein und geben Sie im Eingabefeld Rufnummer die VIP-Nummer ein.

Sie können entweder die Rufnummer jederzeit durchstellen lassen oder Sie geben individuelle Geschäftszeiten ein, um z.B. den Anrufer nur zu besonderen Zeiten durchstellen zu lassen. Sie können hier zudem entscheiden, über welchen Trunk und an welche Nebenstelle/ Rufgruppe der Anrufer weitergeleitet werden soll.

Aktivieren Sie die Checkbox Geschäftszeiten gelten auch an allgemeinen Feiertagen, um die für die Feiertage festgelegten Geschäftszeiten außer Kraft zu setzen.

Soll eine Ansage an öffentlichen Feiertagen für diese Regel gespielt werden, aktivieren Sie einfach die Checkbox Feiertagsansage an allgemeinen Feiertagen. Bestätigen Sie Ihre Eingaben oben mit ok, um die Regel zu speichern.

by Larissa Prause

Probleme bei der Fernsteuerung (Remote Control) via 3CX Webkonferenz

Wer die Fernsteuerung über die 3CX Webkonferenz sucht, wird zur Zeit leider keinen Erfolg haben. Der Button für die jeweilige Initiierung ist seit kurzem nicht mehr enthalten. Allerdings arbeitet 3CX mit hoch touren daran, diesen im nächsten Update wieder zu ergänzen.

Wem die Funktion neu ist, der findet hier eine kurze Anleitung zur Initiierung der Fernsteuerung in der 3CX Video/Webkonferenz.

• Für die Nutzung muss der Remote Control Client auf dem PC installiert sein, der auch ferngesteuert werden soll.
• Den Download erhält man in der Konferenz selbst. Klicken Sie hierzu auf das blaue Remote-Symbol. Klicken Sie auf den Namen eines Teilnehmers und wählen Sie die Option Remote-Unterstützung aus.
• Sie können alle Teilnehmer in der Übersicht im Bedienfeld Teilnehmer einsehen. Der gewählte Teilnehmer muss hier wiederum mit ja bestätigen, um die Freigabe zu erteilen und die Fernsteuerung somit zu akzeptieren. Klicken Sie auf 3CXWMRemoteControl.
• Öffnen und gestatten Sie den entsprechenden Link. Zum Beenden der Remote Unterstützung, muss der Organisator auf das Remote Unterstützung Symbol klicken.

Wählen Sie in der Konferenz die Teilnehmer Übersicht aus, um den entsprechenden Teilnehmer zu finden.

Wählen Sie im Benutzer über „mehr“(…) die Remote Control Funktion aus oder klicken Sie im Benutzer auf das blaue Remote Control Symbol

by Volker Diermann

Ausgehende Rufnummer des 3CX Benutzers wird überschrieben

Sollte man die Microsoft 365 Integration nutzen und in den Synchronisationseinstellungen die Option  "'Telefon geschäftlich' von Microsoft 365-Benutzer mit 'Ausgehende Rufnummer' für Nebenstelle synchronisieren "aktiv haben, könnte es passieren das die "ausgehende Rufnummer" im Benutzer bei der nächtlichen Synchronisation überschrieben wird. Hier zieht sich die Anlage dann die Rufnummer für den Benutzer, die z.B. in Azure AD hinterlegt wurde.

Die Synchronisation mit der 3CX erfolgt nächtlich. Sollte also die Einstellung ab dem nächsten Werktag überschrieben worden sein, ist dies ein ausschlaggebender Hinweis.

Wer also eine andere Rufnummer für einen Benutzer absenden möchte, als die eigentliche Durchwahl des Users, muss folgende Einstellung überprüfen und im Benutzer dann die ausgehende Rufnummer unter Allgemein> Ausgehende Rufnummer manuell eintragen.

Überprüfen Sie die Einstellungen unter Einstellungen> Microsoft365> Benutzer- Sync und prüfen Sie die entsprechende Checkbox, entfernen Sie den Haken.

Tragen Sie nun die gewünschte Rufnummer ein die ausgesendet werden soll, wenn der User einen Anruf tätigt:

by Larissa Prause

Individuelle 3CX Wartemusik/Ansage in jedem Auswahlmenü einstellen

In der Regel kann man in der Warteschleife eine individuelle Ansage oder Musik abspielen lassen. Allerdings bezieht sich diese dann nur auf die Warteschleife und nicht für z.B. Wartepositionen etc. Hier wird dann wieder der 3CX Soundtrack "onhold" wiedergegeben. Möchte man nun die eigene Musik oder Ansage auch bei Wartepositionen oder Weiterleitungen abspielen lassen, muss hier unter den Einstellungen die gewünschte Datei hinterlegt werden:

Gehen Sie hierzu in der Verwaltungskonsole auf Einstellungen > Warteschleifenmusik und hinterlegen Sie die WAV Datei in Musikdatei 0

Alternativ können Sie eine Ansage aus dem Menü direkt aufzeichnen oder eine bestehende Datei auswählen. Klicken Sie hierzu auf "Aufzeichnen" und wählen Sie die Nebenstelle aus über die Sie die Ansage aufzeichnen wollen. 3CX startet hier einen Anruf an Sie. Befolgen Sie die Anweisungen und die Ansage wird direkt hinterlegt. Ebenfalls können Sie über den Punkt "Verwalten" bereits im System hinterlegte Dateien auswählen.

Beim Hochladen der Datei beachten Sie bitte stets das Format: WAV Mono 8 kHz 16 bit.

by Larissa Prause

3CX mit neuem 7-Schritte-Sicherheits-Aktionsplan!

3CX ist sich seiner Verantwortung bewusst ein Sicherheitskonzept auszuarbeiten, damit weitere Angriffe, egal wie routiniert, abgewehrt werden können. Dazu hat 3CX eine Sicherheitscharta entworfen und setzt damit neue Maßstäbe. Die Sicherheitscharta, genannt „EFTA“ (griechisch: 7) umfasst 7 Punkte, zu deren Umsetzung 3CX verpflichtet hat.

1. Stärkung mehrerer Ebenen der Netzwerksicherheit

3CX hat einen strategischen Plan entwickelt, um die Sicherheit des Netzwerks zu verstärken:

• Neuaufbau des Netzwerks, beginnend mit einer dedizierten Build-Umgebung, die gesichert und isoliert ist
• Implementierung neuer EDR-Überwachungstools
• Einsatz von Offsite-Überwachung rund um die Uhr – besetzt mit Spezialisten für die Bedrohungssuche
• Strengere Zugriffskontrollrichtlinien auf allen Ebenen bei einem Zero-Trust-Modell
• Enge Zusammenarbeit mit Mandiant zur Umsetzung der Empfehlungen des Sanierungsplans

2. Überarbeitung der Build-Sicherheit

Die Verfahren wurden von 3CX verbessert und es werden zusätzliche Tools eingesetzt, um die Integrität der zur Verfügung gestellten Software sicherzustellen. Das beinhaltet:

• Verstärkte statische und dynamische Codeanalyse – unser Code wird vor jedem Commit gescannt, um nach Codequalitätsproblemen und Schwachstellen im gesamten Telefonsystemprojekt zu suchen – einschließlich des Webclients.
• Code-Signatur- und Überwachungslösungen – Wir evaluieren mögliche Code-Signatur- und Überwachungslösungen, um sicherzustellen, dass unsere Software nicht modifiziert wird.

3. Laufende Überprüfung der Produktsicherheit mit Mandiant

3CX arbeitet eng mit Mandiant zusammen, um die laufende Überprüfung der Produktsicherheit abzuschließen und um Schwachstellen in 3CX-Produkten zu identifizieren. Dazu gehören der Webclient, die Electron-App sowie internen API- und Kommunikationsbibliotheken. Mehrere potenzielle Schwachstellen wurden bereits behoben, die im Rahmen dieses Prozesses identifiziert wurden.

4. Verbesserung der Produktsicherheitsfunktionen

3CX verbessert und stäkt die Produktsicherheitsfunktionen. Als ersten Schritt wird nächste Woche bereits das Update 7A nach einer Sicherheitsprüfung veröffentlicht und umfasst folgende Punkte:

• PWA als bevorzugte Option für mehr Kunden:

  • Fügt BLF-Panel zum PWA-App-Dialer hinzu
  • Unterstützung für das Tel-Protokoll (Update 8)

• Passwort-Hashing
• Entfernen des Passworts aus der Willkommens-E-Mail
• Sperren des Webclients per IP – für den Systemadministrator oder alle Benutzer
• Eine Reihe von Schwachstellen wird behoben

Auch die Produkt-Roadmap wurde von 3CX aktualisiert und eine neue Version der nativen Windows-App wurde aufgenommen, die aus dem Microsoft Store installiert werden kann. Dies fügt automatisch eine Sicherheitsstufe sowie bei Bedarf automatische Updates und Quarantäne hinzu. Auch sind zusätzliche Sicherheitsupdates wie 2MFA für Nicht-SSO-Installationen geplant. Weitere Details sowie die Roadmap werden in Kürze veröffentlicht.

5. Durchführen laufender Penetrationstests

Ein etablierten Unternehmen für Penetrationstests wurde von 3CX ausgwählt, um laufende Penetrationstests des Netzwerks, der Online-Webanwendungen, einschließlich Website und Kundenportal, sowie der 3CX Produkte durchzuführen.

6. Verfeinerung des Krisenmanagement- und Alarmbehandlungsplans

In Zukunft wird 3CX einen Krisenmanagement- und Alarmbehandlungsplan formalisieren, um auf den Lehren aus diesem Vorfall aufzubauen. Das transparente Verhalten von 3CX und die Kommunikation mit den Kunden über den Blog, das Forum und ander Soziale-Plattformen wird weiterhin beibhalten und noch weiter ausgebaut.

7. Einrichtung einer neuen Abteilung für Netzwerkbetrieb und -sicherheit

Es wurde eine eigene Abteilung geschaffen, die sich auf Netzwerkbetrieb und -sicherheit konzentriert. Diese neue Abteilung „Network Operations & Security“ wird von Agathocles Prodromou geleitet, der fast 20 Jahre Erfahrung im IT- und Sicherheitsbereich mitbringt. Als Chief Network Officer (CNO) wird Agathocles direkt an den CEO berichten, um eine direkte und offene Kommunikationslinie zu gewährleisten, während 3CX die Betriebspraktiken und das Sicherheitsprogramm kontinuierlich überprüft und verbessert. Dazu wurde ein erhebliches SIcherheitsbudget für die neue ABteilung zur Verfügung gestellt.

by Volker Diermann

Keinen Anruf mehr verpassen im 3CX-Webclient (PWA), Installation, Autostart und Push-Benachrichtigungen

Der Webclient hat zwei wichtige Unterschiede in der Funktionsweise zu der 3CX-DesktopApp, initial wird der Webclient nicht automatisch gestartet und es sind keine Push-Benachrichtigungen aktiviert. Benutzer des Webclients vergessen manchmal den Webclient zu starten, und wird das Audiosignal eines eingehenden Anrufs überhört und man arbeitet momentan in einer anderen Software, fehlt der visuelle Hinweis auf dem Bildschirm und der Anruf wird verpasst. Um diese Funktionen zu aktivieren, müssen lediglich ein paar Schritte in den Einstellungen des genutzten Browsers vorgenommen werden und schon wird kein Anruf mehr verpasst.

Bei dem 3CX-Webclient handelt es sich um eine sogenannte Progressive Web App (PWA), diese ermöglichen Benutzern ein App-ähnliches Erlebnis in Ihrem Webbrowser. Nun gibt es allerdings browserabhängig unterschiedliche Verhaltensweisen von PWAs, insbesondere der Umgang mit Push-Benachrichtigungen.

Wir beginnen ganz von Vorne, falls die Web-App (PWA) noch nicht installiert wurde.

Installation, Autostart und Push-Benachrichtigungen in Chrome

Öffnen Sie die URL des Webclients in Chrome und klicken Sie unten links auf den Button „Apps“. Dort klicken Sie dann bitte auf Web-App (PWA)

Danach fragt Sie der Browser ,ob er die App auch wirklich installieren möchten, bestätigen Sie auch das bitte mit „Installieren“.

Sobald die Web-APP (PWA) gestartet ist, klicken Sie bitte oben rechts auf das Symbol mit den 3 Punkten, dann auf „App-Info“

In dem nun erscheinenden Dialog aktivieren Sie bitte „App beim Anmelden starten“ und „Benachrichtigungen“

Installation, Autostart und Push-Benachrichtigungen in MS Edge

In MS Edge funktionieren die Push-Benachrichtigungen anders als in Chrome. Der Hintergrundprozess des MS Edge wird bei der Windows-Anmeldung bereits gestartet und läuft weiter. Dies ist auch dann der Fall, wenn alle Edge / PWA-Fenster geschlossen sind, aber die Option "Startup Boost" in den Edge-Einstellungen >> "System und Leistung" aktiviert ist. So erhalten Sie auch weiterhin Push-Benachrichtigungen über Edge, auch wenn der Browser geschlossen ist.

Bitte folgen Sie den Schritten wie bei Chrome um im Webclient die Installation der Web-App (PWA) zu starten. Dann erscheint folgender Dialog den Sie bitte bestätigen um die Installation zu beginnen.

Nachdem die Installation erfolgreich war, erscheint ein weiterer Dialog, in dem Sie den automatischen Start der Web-App (PWA) bei Geräteanmeldung veranlassen können.

Stellen Sie sicher, dass die Option zum Fortsetzen der Ausführung von Hintergrund-Apps beim Schließen des Browsers auf EIN eingestellt ist. Edge-Optionen >>Einstellungen >> System und Leistung >> Option „Hintergrund-Erweiterungen und -Apps weiter ausführen, wenn Microsoft Edge geschlossen wurde“ aktivieren.

Push-Benachrichtigungen auf macOS

Unter macOS gibt es die Option „Startup Boost für Edge aktivieren“ nicht. Sie können jedoch die PWA-App und die Browserfenster mit X in macOS schließen und sehen dann unter Ihrem Browsersymbol einen kleinen Punkt. Der kleine Punkt bedeutet, dass die Browserprozesse noch ausgeführt werden, sodass Sie weiterhin Push-Benachrichtigungen erhalten.

Wenn Sie Edge öffnen und "Microsoft Edge" >> "Microsoft Edge beenden" auswählen oder dasselbe für Chrome tun, werden alle Browserprozesse beendet und Sie erhalten keine Push-Benachrichtigungen mehr.

by Volker Diermann

Mandiant mit ersten Ergebnissen nach dem 3CX Sicherheitsvorfall

Der profilierte Cybersicherheits-Beratungsdienst Mandiant wurde von 3CX beauftragt Licht in die Umstände des 3CX Sicherheitsvorfalls zu bringen und eine forensische Analyse des Netzwerks und der 3CX Produkte vorzunehmen. Nun gibt es eine Zwischenbilanz mit folgendem Ergebnis:
Nach bisherigen Untersuchung von Mandiant zum 3CX-Intrusions- und Lieferkettenangriff wird die Aktivität einem Cluster namens UNC4736 zugeordnet. Mandiant geht mit großer Sicherheit davon aus, dass UNC4736 eine nordkoreanische Verbindung hat.

Der Angreifer habe gezielte 3CX-Systeme mit TAXHAUL-Malware (alias „TxRLoader“) infiziert hatte. Bei der Ausführung auf Windows-Systemen entschlüsselt und führt TAXHAUL Shellcode aus, der sich in einer Datei mit dem Namen .TxR.0.regtrans-ms befindet, die sich im Verzeichnis C:\Windows\System32\config\TxR\ befindet. Der Angreifer hat wahrscheinlich diesen Dateinamen und Speicherort gewählt, um zu versuchen, sich in Standard-Windows-Installationen einzufügen. Die Malware verwendet die Windows CryptUnprotectData-API, um den Shellcode mit einem kryptografischen Schlüssel zu entschlüsseln, der für jeden kompromittierten Host eindeutig ist, was bedeutet, dass die Daten nur auf dem infizierten System entschlüsselt werden können. Diese Designentscheidung wurden wahrscheinlich getroffen, um die Kosten und den Aufwand einer erfolgreichen Analyse durch Sicherheitsforscher und Untersuchungskräfte zu erhöhen.

In diesem Fall war nach dem Entschlüsseln und Laden des in der Datei .TxR.0.regtrans-ms enthaltenen Shellcodes ein komplexer Downloader, den Mandiant COLDCAT nannte. Es ist jedoch erwähnenswert, dass sich diese Malware von GOPURAM unterscheidet, auf das in Kasperskys Bericht verwiesen wird.

3CX gibt an das die folgende YARA-Regel verwendet werden kann, um nach TAXHAUL (TxRLoader) zu suchen:

rule TAXHAUL

{
    meta:
        author = "Mandiant"
        created = "04/03/2023"
        modified = "04/03/2023"
        version = "1.0"
    strings:
        $p00_0 = {410f45fe4c8d3d[4]eb??4533f64c8d3d[4]eb??4533f64c8d3d[4]eb}
        $p00_1 = {4d3926488b01400f94c6ff90[4]41b9[4]eb??8bde4885c074}
    condition:
        uint16(0) == 0x5A4D and any of them
}

Bitte beachten Sie, dass diese, ähnlich wie jede YARA-Regel, zuerst in einer Testumgebung angemessen bewertet werden sollte, bevor sie in der Produktion verwendet wird. Dies beinhaltet auch keine Garantien hinsichtlich der Fehlalarmraten sowie der Abdeckung für diese gesamte Malware-Familie und eventuelle Varianten.

Mandiant hat auch eine MacOS-Hintertür mit dem aktuellen Namen SIMPLESEA identifiziert, die sich unter /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f) befindet. Mandiant analysiert immer noch SIMPLESEA, um festzustellen, ob es sich mit einer anderen bekannten Malware-Familie überschneidet.

Die in C geschriebene Hintertür kommuniziert über HTTP. Zu den unterstützten Backdoor-Befehlen gehören Shell-Befehlsausführung, Dateiübertragung, Dateiausführung, Dateiverwaltung und Konfigurationsaktualisierung. Es kann auch beauftragt werden, die Konnektivität einer bereitgestellten IP- und Portnummer zu testen.

Die Hintertür prüft die Existenz ihrer Konfigurationsdatei unter /private/etc/apdl.cf. Wenn es nicht vorhanden ist, wird es mit fest codierten Werten erstellt. Die Konfigurationsdatei ist Single-Byte-XOR-codiert mit dem Schlüssel 0x5e. Die C2-Kommunikation wird über HTTP-Anforderungen gesendet. Bei der ersten Ausführung wird eine Bot-ID zufällig mit der PID der Malware generiert. Die ID wird mit C2-Verbindungen gesendet. Ein kurzer Host Survey Report ist in Beacon Requests enthalten. Nachrichteninhalte werden mit der A5 Stream Cipher gemäß den Funktionsnamen in der Binärdatei verschlüsselt.

Unter Windows nutzte der Angreifer DLL Side-Loading, um Persistenz für die TAXHAUL-Malware zu erreichen. Das Side-Loading von DLLs veranlasste infizierte Systeme, die Malware des Angreifers im Kontext legitimer Microsoft Windows-Binärdateien auszuführen, wodurch die Wahrscheinlichkeit einer Malware-Erkennung verringert wurde. Der Persistenzmechanismus stellt außerdem sicher, dass die Malware des Angreifers beim Systemstart geladen wird, sodass der Angreifer über das Internet Fernzugriff auf das infizierte System behalten kann.

Die Malware wurde C:\Windows\system32\wlbsctrl.dll genannt, um die legitime Windows-Binärdatei mit demselben Namen nachzuahmen. Die DLL wurde vom legitimen Windows-Dienst IKEEXT über die legitime Windows-Binärdatei svchost.exe geladen.

Die Malware nutzt innerhalb der 3CX-Umgebung die folgende Command-and-Control-Infrastruktur:

azureonlinecloud[.]com
akamaicontainer[.]com
journalide[.]org
msboxonline[.]com

Die Ritter Technologie GmbH bittet nochmals um Zusammenarbeit und die Ausführung folgender Schritte:

3CX hat die neu signierte APP veröffentlicht. Die Sourcen der App wurden durch Mandiant begutachtet und freigegeben.

Wie auch schon bei den vorangegangenen Updates werden wir diese auf den durch uns verwalteten Anlagen einspielen.

Die neue APP trägt die Versionsnummer 18.12.425, Ihre Clients werden Sie nach erfolgter Installation auf das Update hinweisen, wir empfehlen dringend dieses auch zu installieren. Bitte deinstallieren Sie die alte App bevor die neue installiert wird..

by Volker Diermann