در یک کمپین گسترده، سیستم های Elastix VoIP هک شدند!

در یک کمپین گسترده، سیستم های Elastix VoIP هک شدند!

تتحلیلگران سایبری یک کمپین بزرگ کشف کرده اند که سرورهای تلفن VoIP Elastix را با بیش از 500000 نمونه بدافزار در یک دوره سه ماهه هدف قرار داده اند. Elastix یک نرم افزار سرور برای ارتباطات یکپارچه (IP PBX، ایمیل، پیام ، فکس) است که می تواند با ماژول تلفن های Digium برای FreePBX استفاده شود.

در یک کمپین گسترده، سیستم های Elastix VoIP هک شدند!

تحلیلگران سایبری یک کمپین بزرگ کشف کرده اند که سرورهای تلفن VoIP Elastix را با بیش از 500000 نمونه بدافزار در یک دوره سه ماهه هدف قرار داده اند. Elastix یک نرم افزار سرور برای ارتباطات یکپارچه (IP PBX]]، ایمیل، پیام ، فکس) است که می تواند با ماژول تلفن های Digium برای FreePBX استفاده شود.

هکران ممکن است از یک آسیب‌پذیری برای اجرای کد های مخرب به صورت ریموت یا از راه دور  (RCE)با نام CVE-2021-45461 با میزان بحرانی بودن 9.8 از 10 استفاده کرده باشند. مهاجمان از دسامبر 2021 از این آسیب پذیری استفاده می کنند و به نظر می رسد کمپین اخیر با مشکل امنیتی مرتبط است.

محققان امنیتی در Palo Alto Networks' Unit 42 می گویند که هدف مهاجمان ایجاد یک web shell PHP بود که می توانست دستورات دلخواه را روی سرور در معرض خطر اجرا کند.

در این گزارش ، محققان می گویند که هکران "بیش از 500000 نمونه بدافزار منحصر به فرد از این خانواده" را بین دسامبر 2021 تا مارس 2022 مستقر منتشر کرده اند.

این کمپین هنوز فعال است و چندین شباهت به عملیات های دیگری در سال 2020 دارد که توسط محققان شرکت امنیت سایبری Check Point گزارش شده است.

جزئیات حمله

محققان دو گروه حمله را مشاهده کردند که از اسکریپت‌های initial exploitation متفاوت استفاده می‌کردند تا یک اسکریپت کوچک را در سیستم آزاد کنند. این اسکریپت PHP backdoor را بر روی دستگاه مورد نظر نصب می‌کند و همچنین حساب‌های کاربری root ایجاد می‌کند تا از تداوم انجام تسک های لازم اطمینان حاصل کند.

 

One of the two scripts used for initial compromise (Palo Alto Networks)

محققان امنیتی خاطرنشان کردند: «این dropper همچنین سعی می‌کند با جعل کردن ( (spoofingزمان فایل backdoor نصب‌شده PHP به فایل شناخته‌شده‌ای که قبلاً روی سیستم است، با محیط موجود ترکیب شود».

 IPآدرس‌های مهاجمان هر دو گروه در هلند قرار دارد، در حالی که سوابق DNS پیوندهایی را به چندین سایت با محتوای برای بزرگسال روسی نشان می‌دهد. در حال حاضر، بخش‌هایی از زیرساخت payload-delivery همچنان در حال فعالیت است.

تسک های ایجاد شده توسط اولین اسکریپت هر دقیقه اجرا می شود تا یک web shell PHP که با base64 کدگذاری شده است می تواند پارامترهای زیر را در درخواست های وب ورودی مدیریت کند:

      : md5 – هش احراز هویت MD5 برای ورود از راه دور و تعامل با Web shell

      : admin – بین Elastic و Freepbx بتواند administrator session را انتخاب کند.

      : cmd – اجرای دستورات دلخواه را از راه دور و به صورت ریموت

     – : call شروع تماس از طریق  Asterisk command line interface (CLI)

 Web shellهمچنین دارای یک مجموعه اضافی از هشت فرمان داخلی برای خواندن فایل، فهرست دایرکتوری، و شناسایی پلت فرم اوپن سورس PBX Asterisk است.

گزارش Unit42 شامل جزئیات فنی در مورد نحوه drop شدن پکت ها و برخی تاکتیک ها برای جلوگیری از شناسایی در محیط است. علاوه بر این، فهرستی از شاخص‌های سازش، مسیر فایل  های محلی که مورد استفاده بدافزار، string‌های منحصربه‌فرد، هش‌های اسکریپت‌های shell، و URL‌های عمومی که payload‌ها را میزبانی می‌کنند را نشان می‌دهد.

منبع: www.bleepingcomputer.com