Bron

Leestijd 1 min

Beveiligingsonderzoekers van Palo Alto Networks hebben een recente campagne gedetailleerd beschreven die zich richt op het Elastix-systeem in Digium-telefoons met een web-shell waarmee aanvallers extra payloads kunnen droppen en uitvoeren. Tussen december 2021 en maart 2022 hebben de onderzoekers meer dan 500.000 malware samples waargenomen die gericht waren op de Elastix unified communications server software, die is gebaseerd op projecten zoals Digium's Asterisk, FreePBX, en meer. Asterisk, gesponsord door Sangoma, dat in 2018 Digium kocht, is een open source framework voor communicatietoepassingen en VoIP-telefoons. Het is een wijdverbreide implementatie van een PBX (Private Branch Exchange) die draait op verschillende besturingssystemen, waaronder Linux, macOS en Solaris. Volgens Palo Alto Networks is met de waargenomen aanvallen waarschijnlijk geprobeerd misbruik te maken van CVE-2021-45461, een kwetsbaarheid voor code-uitvoering op afstand in de FreePBX open source IP PBX-software. In feite merken de onderzoekers op dat de aanvallen een voortzetting lijken te zijn van de INJ3CTOR3-campagne die aanvankelijk in november 2020 werd onthuld. Als onderdeel van die operatie probeerden hackers, die zich vermoedelijk in Gaza bevonden, winst te maken door VoIP-systemen te kapen en de toegang tot die systemen te verkopen. Als onderdeel van de recente aanvallen proberen de dreigingsactoren een webshell te installeren op het Elastix-systeem in Digium-telefoons, om "gegevens te exfiltreren door extra payloads te downloaden en uit te voeren", aldus Palo Alto Networks. De initiële dropper is een shellscript dat een versluierde PHP backdoor op de webserver achterlaat, meerdere root-gebruikersaccounts aanmaakt en een geplande taak instelt om een herhaalde herinfectie van het systeem te verzekeren. De PHP-webshell - die wordt geïnjecteerd met een willekeurige junkstring om op handtekeningen gebaseerde afweer te omzeilen - bevat meerdere lagen Base64-codering en wordt beschermd door een hardgecodeerde "MD5-verificatiehash" die gekoppeld is aan het IP-adres van het slachtoffer.

25 dagen geleden - securityweek.com

Korte versie

Cyberdieven zijn het doelwit van een webshell waarmee hackers gegevens kunnen stelen van kwetsbare communicatiesystemen.

Uitgebreide versie

Beveiligingsonderzoekers van Palo Alto Networks hebben een recente campagne gedetailleerd beschreven die zich richt op het Elastix-systeem in Digium-telefoons met een web-shell waarmee aanvallers extra payloads kunnen droppen en uitvoeren. Tussen december 2021 en maart 2022 hebben de onderzoekers meer dan 500.000 malware samples waargenomen die gericht waren op de Elastix unified communications server software, die is gebaseerd op projecten zoals Digium's Asterisk, FreePBX, en meer. Volgens Palo Alto Networks is met de waargenomen aanvallen waarschijnlijk geprobeerd misbruik te maken van CVE-2021-45461, een kwetsbaarheid voor code-uitvoering op afstand in de FreePBX open source IP PBX-software.

Vergelijkbare publicaties

In het artikel genoemde namen van organisaties

article image

Gevonden topics

malware

96%