Digium’un yazılımını kullanan VoIP telefonlarının, ek yükleri indirerek ve yürüterek verileri sızdırmak için tasarlanmış bir saldırı kampanyasının parçası olarak sunucularına bir web kabuğu bırakması hedeflenmiştir.
Palo Alto Networks Unit 42, “Kötü amaçlı yazılım, web sunucusunun dosya sistemine çok katmanlı gizli PHP arka kapıları yükler, yürütme için yeni yükler indirir ve ana sisteme yeniden bulaşmak için yinelenen görevleri planlar.” söz konusu Cuma raporunda.
Olağandışı faaliyetin 2021 Aralık ayının ortalarında başladığı ve açık kaynaklı Elastix Unified Communications Server üzerinde çalışan özel bir şube değişiminin (PBX) yaygın olarak kullanılan bir yazılım uygulaması olan Asterisk’i hedef aldığı söyleniyor.
Birim 42, izinsiz girişlerin aşağıdakilerle benzerlikler paylaştığını söyledi. INJ3CTOR3 kampanyası İsrail siber güvenlik firması Check Point’in Kasım 2020’de, önceki saldırıların bir “yeniden dirilişi” olabileceği ihtimaline atıfta bulunarak ifşa ettiği iddiası.
Ani artışla aynı zamana denk gelen, Aralık 2021’de şu anda yamalı bir uzaktan kod yürütme kusurunun kamuya açıklanmasıdır. ÜcretsizPBX, Asterisk’i kontrol etmek ve yönetmek için kullanılan web tabanlı açık kaynaklı bir GUI. olarak izlendi CVE-2021-45461sorun önem derecesine göre 10 üzerinden 9,8 olarak derecelendirilmiştir.
Saldırılar, uzak bir sunucudan bir ilk dropper kabuk betiğinin alınmasıyla başlar, bu da PHP web kabuğunu dosya sistemindeki farklı konumlara kurmak ve ayrıca uzaktan erişimi sürdürmek için iki kök kullanıcı hesabı oluşturmak için düzenlenir.
Ayrıca, her dakika çalışan ve yürütme için saldırgan tarafından kontrol edilen etki alanından kabuk komut dosyasının uzak bir kopyasını getiren zamanlanmış bir görev oluşturur.
Kötü amaçlı yazılım, izlerini kapatmak için önlemler almanın yanı sıra, keyfi komutlar çalıştırmak için de donatılmıştır ve sonuçta bilgisayar korsanlarının sistemin kontrolünü ele geçirmesine, bilgileri çalmasına ve aynı zamanda güvenliği ihlal edilmiş ana bilgisayarlara bir arka kapı korumasına izin verir.
Araştırmacılar, “Savunmasız sunuculara web kabukları yerleştirme stratejisi, kötü niyetli aktörler için yeni bir taktik değil” diyerek, bunun “kötü amaçlı yazılım yazarlarının açıkları başlatmak veya uzaktan komutları çalıştırmak için kullandıkları ortak bir yaklaşım” olduğunu ekledi.