Исследователи безопасности в Palo Alto Networks‘ объявили, что хакеры запустили новую кампанию, нацеленную на серверы VoIP-телефонии Elastix, которые представляют собой серверное программное обеспечение для унифицированной связи, используемое в телефонах Digium. Команда заявила, что в период с декабря 2021 по март 2022 года они стали свидетелями более 500 000 уникальных образцов вредоносных программ. Злоумышленники внедряют веб-оболочку, которая может быть связана с уязвимостью удаленного выполнения кода CVE-2021-45461, которая имеет оценку CVSS 9,8.
Два сценария атаки
Команда Unit42 заявила, что они разделяют наш первоначальный набор образцов на две основные группы: группу 1 и группу 2. Кроме того, группа 2 была разделена на две подгруппы, группу A и группу B. Группа 1 и группа 2 используют разные версии сценария атаки. Подгруппы A и B указывают на две разные группы целей.
Первоначальный dropper представляет собой сценарий оболочки с двумя основными целями: установить скрытый PHP-бэкдор в нескольких местах файловой системы и поддерживать доступ путем создания нескольких учетных записей пользователей root или настройки запланированной задачи для повторного заражения хост-системы. Этот дроппер также пытается вписаться в существующую среду, подменяя временную метку установленного файла бэкдора PHP меткой известного файла, уже находящегося в системе.
Он также извлекает и выполняет удаленные скрипты от злоумышленников. IPv4-адрес злоумышленника находится в Нидерландах, но его прошлые записи DNS показывают связь с российскими доменами, предназначенными в основном для взрослых. Unit42 сказал,
«Стратегия внедрения веб-оболочек на уязвимых серверах не является новой тактикой для злоумышленников. Единственный способ перехватить продвинутые вторжения – это стратегия углубленной защиты. Только путем объединения нескольких устройств и приложений безопасности в одной панели защитники могут обнаружить эти атаки. Помимо многочисленных средств защиты, предлагаемых в пакете продуктов Palo Alto Networks, WildFire, расширенная фильтрация URL-адресов и предотвращение угроз обеспечивают охват для этого семейства образцов. »