Badacze twierdzą, że kilka różnych cyberprzestępców zaatakowało serwery telefonii VoIP (otwiera się w nowej karcie) należące do Elastix z ponad 500,000 2021 różnych próbek złośliwego oprogramowania (otwiera się w nowej karcie).
Elastix to oprogramowanie serwera ujednoliconej komunikacji, które łączy w sobie narzędzia dla IP PBX, poczty e-mail, komunikatorów, faksu i współpracy.
Badacze zakładają, że osoby atakujące wykorzystały lukę CVE-2021-45461 o wysokim poziomie ważności (9.8), która umożliwia zdalne wykonanie kodu. Ich celem było zaimplementowanie powłoki internetowej PHP, która pozwoliłaby im na wykonanie dowolnego kodu na zhakowanych punktach końcowych.
Wtop się w otoczenie
Eksperci z Palo Alto Networks Unit 42, którzy po raz pierwszy widzieli kampanię, powiedzieli, że dwie oddzielne grupy atakujące, używając różnych metod wykorzystania luk, próbowały zaimplementować miniaturowy skrypt powłoki, który instaluje backdoora PHP i daje atakującym dostęp do roota.
„Ten dropper próbuje również wtopić się w istniejące środowisko, podszywając się pod sygnaturę czasową zainstalowanego pliku backdoora PHP ze znanym plikiem już znajdującym się w systemie” – zauważyli naukowcy.
Adresy IP grup znajdują się w Holandii, wyjaśniono to bardziej szczegółowo, ale dane DNS wskazują na rosyjskie witryny dla dorosłych. Infrastruktura dostarczania ładunku jest obecnie tylko częściowo aktywna.
Kampania wciąż trwa, podsumowali naukowcy.
W zależności od celu kampanii, serwery korporacyjne są czasami bardziej wartościowym celem niż komputery korporacyjne, laptopy lub inne punkty końcowe. Serwery są często bardziej wydajnymi urządzeniami i mogą być używane na przykład jako część potężnego botnetu, który wysyła tysiące żądań na sekundę.
Serwery mogą być również wykorzystywane do wdrażania oprogramowania do wydobywania kryptowalut, zdobywając cenne kryptowaluty dla swoich atakujących. I wreszcie, jeśli serwery są współdzielone (na przykład w środowisku chmury), możliwe naruszenie danych może zagrozić kilku firmom jednocześnie i wszystkim ich klientom razem.
Przez: BleepingComputer (Otwiera się w nowej karcie)
