Tehdit analistleri, üç aylık bir süre boyunca 500.000'den fazla kötü amaçlı yazılım örneği ile Elastix VoIP telefon sunucularını hedefleyen büyük ölçekli bir kampanya ortaya çıkardılar.
Elastix, Freepbx için Digium Telefon Modülü ile kullanılabilecek birleşik iletişim (Internet Protokolü Özel Şube Değişimi [IP PBX], e -posta, anlık mesajlaşma, faks) için bir sunucu yazılımıdır.
Saldırganlar, CVE-2021-45461 olarak tanımlanan bir uzaktan kod yürütme (RCE) güvenlik açığı kullanabilir ve 10 üzerinden 9,8 kritik bir önem derecesi ile kullanılabilir.
Aralık 2021'den bu yana bu kırılganlıklardan yararlanıyor ve son kampanya güvenlik meselesine bağlı görünüyor.
Palo Alto Networks birim 42'deki güvenlik araştırmacıları, saldırganların hedefinin, tehlikeye atılan iletişim sunucusunda keyfi komutlar çalıştırabilecek bir PHP web kabuğu dikmek olduğunu söylüyor.
Cuma günü yayınlanan bir raporda, araştırmacılar tehdit oyuncusunun Aralık 2021 ve Mart 2022 arasında "bu ailenin 500.000'den fazla benzersiz kötü amaçlı yazılım örneği" kullandığını söylüyor.
Kampanya hala aktif ve 2020'de siber güvenlik şirketi kontrol noktasında araştırmacılar tarafından bildirilen başka bir operasyonla benzerlikleri paylaşıyor.
Araştırmacılar, küçük boyutlu bir kabuk betiğini bırakmak için farklı başlangıç sömürü komut dosyaları kullanan iki saldırı grubunu gözlemlediler. Komut dosyası, PHP arka kapısını hedef cihaza yükler ve ayrıca kök kullanıcı hesapları oluşturur ve planlanan görevler yoluyla kalıcılık sağlar.
Güvenlik Araştırmacılarına, "Bu damlalık, kurulu PHP arka kapı dosyasının zaman damgasını sistemde zaten bilinen bir dosyaya takarak mevcut ortama karışmaya çalışıyor."
Her iki gruptan saldırganların IP adresleri Hollanda'da bulunurken, DNS kayıtları birkaç Rus yetişkin bölgesine bağlantılar ortaya koyuyor. Şu anda, yük dağıtım altyapısının bazı bölümleri çevrimiçi ve operasyonel kalmaktadır.
İlk komut dosyası tarafından oluşturulan planlanan görev, baz64 kodlu bir PHP web kabuğunu almak için her dakika çalışır ve gelen web isteklerinde aşağıdaki parametreleri yönetebilir:
Web Shell ayrıca, Dosya Okuma, Dizin Listesi ve Yıldız Bilgisi Açık Kaynak PBX platformunun keşif için sekiz yerleşik komuttan oluşan ek bir kümeye sahiptir.
Unit42'nin raporu, yüklerin nasıl düşürüldüğü ve mevcut ortamda tespit edilmesini önlemek için bazı taktikler hakkında teknik ayrıntıları içermektedir. Ayrıca, uzlaşma göstergelerinin bir listesi, kötü amaçlı yazılımların kullandığı yerel dosya yollarını, benzersiz dizeleri, kabuk komut dosyaları için karmalar ve yükleri barındıran genel URL'leri ortaya çıkarır.
Şüpheli fidye yazılımı saldırısında bilgisayar korsanları tarafından kullanılan Mitel Zero-Day
Kritik PHP kusuru, QNAP NAS cihazlarını RCE saldırılarına maruz bırakır
Cisco, yaşam sonu VPN yönlendiricilerinde sıfır gün RCE'yi düzeltmeyeceğini söylüyor
Sophos güvenlik duvarı sıfır gün hatası, düzeltmeden haftalar önce sömürüldü
Anker Eufy Smart Home Hub'lar Kritik Kusurla RCE saldırılarına maruz kaldı
Kaynak: Bleeping Computer