Tehdit analistleri, üç aylık bir süre içinde 500.000’den fazla kötü amaçlı yazılım örneğine sahip Elastix VoIP telefon sunucularını hedefleyen büyük ölçekli bir kampanya ortaya çıkardı.
Elastix, birleşik iletişim için bir sunucu yazılımıdır (İnternet Protokolü Özel Şube Değişimi [IP PBX]e-posta, anlık mesajlaşma, faks) FreePBX için Digium telefonlar modülünde kullanılır.
Saldırganlar, kritik önem derecesi 10 üzerinden 9,8 olan CVE-2021-45461 olarak tanımlanan bir uzaktan kod yürütme (RCE) güvenlik açığından yararlanmış olabilir.
Rakipler Aralık 2021’den beri bu güvenlik açığından yararlanıyor ve son kampanyanın güvenlik sorunuyla bağlantılı olduğu görülüyor.
Palo Alto Networks’ün 42. Birimindeki güvenlik araştırmacıları, saldırganların amacının, güvenliği ihlal edilmiş iletişim sunucusunda rastgele komutlar çalıştırabilen bir PHP web kabuğu yerleştirmek olduğunu söylüyor.
Cuma günkü bir raporda araştırmacılar, tehdit aktörünün Aralık 2021 ile Mart 2022 arasında “bu ailenin 500.000’den fazla benzersiz kötü amaçlı yazılım örneğini” dağıttığını söylüyor.
Kampanya hala aktif ve siber güvenlik şirketi Check Point’teki araştırmacılar tarafından bildirilen 2020’deki başka bir operasyonla bazı benzerlikler paylaşıyor.
Saldırı ayrıntıları
Araştırmacılar, küçük boyutlu bir kabuk komut dosyası bırakmak için farklı başlangıç sömürü komut dosyaları kullanan iki saldırı grubunu gözlemlediler. Komut dosyası, PHP arka kapısını hedef cihaza yükler ve ayrıca kök kullanıcı hesapları oluşturur ve zamanlanmış görevler aracılığıyla kalıcılığı sağlar.
.png)
Güvenlik araştırmacıları, “Bu damlalık aynı zamanda kurulu PHP arka kapı dosyasının zaman damgasını sistemde zaten bulunan bilinen bir dosyanınkiyle taklit ederek mevcut ortama uyum sağlamaya çalışır” dedi.
Her iki gruptaki saldırganların IP adresleri Hollanda’da bulunurken, DNS kayıtları birkaç Rus yetişkin sitesine bağlantılar ortaya koyuyor. Şu anda, yük dağıtım altyapısının bir kısmı çevrimiçi ve çalışır durumda.
İlk komut dosyası tarafından oluşturulan zamanlanmış görev, base64 ile kodlanmış ve gelen web isteklerinde aşağıdaki parametreleri yönetebilen bir PHP web kabuğu getirmek için her dakika çalışır:
- md5 – Uzaktan oturum açma ve web kabuğu etkileşimi için MD5 kimlik doğrulama karması.
- yönetici – Elastik ve Freepbx yönetici oturumu arasında seçim yapın.
- cmd – İsteğe bağlı komutları uzaktan çalıştırın
- aramak – Yıldız işareti komut satırı arabiriminden (CLI) bir arama başlatın
Web kabuğu ayrıca dosya okuma, dizin listeleme ve Asterisk açık kaynaklı PBX platformunun keşfi için sekiz yerleşik komuttan oluşan ek bir set içerir.
Unit42’den gelen rapor, yüklerin nasıl düşürüldüğüne ilişkin teknik ayrıntıları ve mevcut ortamda algılanmayı önlemek için bazı taktikleri içerir. Ayrıca, bir güvenlik açığı göstergeleri listesi, kötü amaçlı yazılımın kullandığı yerel dosya yollarını, benzersiz dizeleri, kabuk komut dosyaları için karmaları ve yükleri barındıran genel URL’leri ortaya çıkarır.