Systemy VoIP Elastix celem masowej kampanii złośliwego oprogramowania

Systemy VoIP Elastix celem masowej kampanii złośliwego oprogramowania

Naukowcy twierdzą, że kilku różnych cyberprzestępców zaatakowało serwery telefonii VoIP (otwiera się w nowej karcie) należące do Elastix za pomocą ponad 500,000 2021 różnych próbek złośliwego oprogramowania (otwiera się w nowej karcie).

Elastix to oprogramowanie serwera ujednoliconej komunikacji, które łączy w sobie narzędzia do IP PBX, poczty elektronicznej, komunikatorów internetowych, faksu i współpracy.

Badacze zakładają, że napastnicy wykorzystali lukę CVE-2021-45461 o wysokim poziomie ważności (9.8), która umożliwia zdalne wykonanie kodu. Ich celem było zaimplementowanie powłoki internetowej PHP, która umożliwiłaby im wykonanie dowolnego kodu na zainfekowanych punktach końcowych.

Wtapiaj się w otoczenie

Eksperci z Palo Alto Networks Unit 42, którzy po raz pierwszy zobaczyli tę kampanię, stwierdzili, że dwie oddzielne grupy atakujące, stosujące różne metody wykorzystania luk, próbowały zaimplementować miniaturowy skrypt powłoki, który instaluje backdoora PHP i zapewnia atakującym dostęp do konta root.

„Ten dropper próbuje również wtopić się w istniejące środowisko poprzez sfałszowanie znacznika czasu zainstalowanego pliku backdoora PHP ze znanym plikiem już znajdującym się w systemie” – zauważyli naukowcy.

Adresy IP grup znajdują się w Holandii, wyjaśniono bardziej szczegółowo, ale dane DNS wskazują na rosyjskie strony dla dorosłych. Infrastruktura dostarczania ładunku jest obecnie aktywna tylko częściowo.

Naukowcy podsumowali, że kampania nadal trwa.

W zależności od celu kampanii serwery korporacyjne są czasami celem o większej wartości niż komputery, laptopy lub inne korporacyjne punkty końcowe. Serwery są zazwyczaj urządzeniami o większej mocy i można je wykorzystać na przykład jako część potężnego botnetu, który wysyła tysiące żądań na sekundę.

Serwery można również wykorzystać do wdrożenia oprogramowania do wydobywania kryptowalut, uzyskując cenne kryptowaluty dla atakujących. I wreszcie, jeśli serwery są współdzielone (na przykład w środowisku chmurowym), potencjalne naruszenie bezpieczeństwa danych może zagrozić kilku firmom jednocześnie i wszystkim ich klientom łącznie.

Przez: BleepingComputer (Otwiera się w nowej karcie)