Üç aylık bir süre boyunca tehdit analistleri tarafından elde edilen 500.000’den fazla kötü amaçlı yazılım örneğinin analizi, Elastix VoIP telefon sunucularını hedefleyen kapsamlı bir kampanyayı ortaya çıkardı. Aynı zamanda, tehdit aktörleri bunu onlardan hassas verileri çalmak için yapıyor.
FreePBX’te, Digium telefon modülü, birleşik iletişimi yöneten sunucu yazılımı olan Elastix ile entegre edilmiştir. CVE-2021-45461, saldırganların uzaktan kod yürütmek için yararlanmış olabileceği bir RCE güvenlik açığıdır.
Son kampanyanın, Aralık 2021’den bu yana tehdit aktörleri tarafından kullanılan güvenlik açığıyla bağlantılı olduğu görülüyor.
Görünüşe göre, Unit 42’deki Palo Alto Networks güvenlik araştırmacısına göre saldırganların hedeflerinden biri, bir kullanıcının makinesine bir PHP web kabuğu kurmaktı. Bir iletişim sunucusunun tehlikeye girmesi, rastgele komutların yürütülmesine neden olabilir.
Aralık 2021 ile Mart 2022 arasındaki dönemde, tehdit aktörü tarafından aile içinde 500.000’den fazla kötü amaçlı yazılım örneği dağıtıldı. Bu kampanya ile 2020’de gerçekleşen ve bugün hala aktif olan bir operasyon arasında bazı benzerlikler var.
Kusur Profili
- CVE Kimliği: CVE-2021-45461
- Açıklama: FreePBX, restapps (diğer adıyla Rest Phone Apps) 15.0.19.87, 15.0.19.88, 16.0.18.40 veya 16.0.18.41 yüklendiğinde, Aralık 2021’de vahşi ortamda istismar edildiği gibi uzak saldırganların rastgele kod yürütmesine izin verir. sürümler 15.0.20 ve 16.0.19’dur.
- Kaynak: MITRE
- CVSS Puanı: 9.8
- Önem: Kritik
Kullanma usulü, çalışma şekli
Aşağıda Modus Operandi’den bahsettik: –
- İlgili IP aralıklarını alma
- Farklı SIP hizmetleri için IP’leri tarama
- İlgili hizmetlerle bir hedef listesi oluşturma
- SIP sunucularını tehlikeye atmaya çalışmak
- Sunucularda yer edinme
- Sunucuyu kar amaçlı kullanmak
Enfeksiyon ve Saldırı akışı
Küçük bir kabuk komut dosyası bırakma çabası içinde, iki saldırı grubunun amaçlarına ulaşmak için farklı başlangıç kullanım komut dosyaları kullandığı gözlemlendi.
Komut dosyasının kullanımı yoluyla, kök kullanıcı hesaplarının oluşturulması ve kalıcılığı sağlamak için zamanlanmış bir görevle birlikte PHP arka kapısı hedef cihaza kurulur.
Bu damlalık tarafından yüklenen PHP arka kapı dosyası, mevcut ortama uyum sağlamak amacıyla dosyanın zaman damgasını yanıltmak suretiyle de sahtedir.
Birkaç Rus yetişkin sitesi ile her iki gruptaki saldırganların IP adresleri arasında bir bağlantı varken, DNS kayıtları sitelerin çoğunun aslında Hollanda’da bulunduğunu gösteriyor.
Kötü amaçlı yazılım cmd request parametresini kullanarak her iki komutu da destekler: –
- keyfi komutlar
- Yerleşik varsayılan komutlar
Dosyaları okumak, dizinleri listelemek ve kabukta da bulunan Asterisk açık kaynaklı PBX platformu hakkında bilgi edinmek için kullanılabilecek web kabuğuyla birlikte gelen bir dizi yerleşik komut da vardır.
Yerleşik bir operasyon olarak, bu zaman zaman meydana gelebilecek bir olgudur. IPRN ile telefon görüşmesi yapmak, siz telefon görüşmesi yaparken para kazanmanıza veya tam tersi, ikisini birbirine bağlayarak para kazanmanıza olanak tanır.
Başka bir deyişle, bu sistemler, saldırganın yararlanabileceği başka saldırılar başlatmak için kullanılabilir.
Bizi Linkedin’den takip edebilirsiniz, heyecanGünlük Siber Güvenlik güncellemeleri için Facebook.