黑客利用 Digium 电话软件攻击VoIP 服务器

Palo Alto Networks 公司的Unit 42团队在上周五发布的一份报告中指出，“该恶意软件将多层混淆的PHP后门安装在 web 服务器的文件系统中，下载新的payload 进行执行，并调度重复发生的任务来重新感染主机系统。”

据称，这种异常活动始于2021年12月中旬并针对在开源 Elastix Unified Communications Server 上运行的 PBX 软件实现 Asterisk。

研究人员指出，该入侵活动和 INJ3CTOR3攻击活动之间存在相似之处。后者是以色列网络安全公司 Check Point 的研究人员在2020年11月披露的攻击活动，这说明这次新发现的攻击活动是之前攻击的“重现”。

巧合的是，2021年12月，FreePBX中曾存在现已修复的远程代码执行缺陷 (CVE-2021-45461)。FreePBX 是一个基于 web 的开源GUI，用于控制和管理 Asterisk。该缺陷的CVSS评分为9.8。

这些攻击最开始是从远程服务器检索释放器的shell 脚本，之后在文件系统中的不同位置安装PHP web shell并创建两个根用户账户维护远程访问权限。此外，它还创建每隔一分钟就会运行的调度任务，并从受攻击者控制的域名中提取 shell 脚本的远程副本进行执行。

除了采取多项措施掩盖痕迹外，该恶意软件还运行任意命令，使攻击者控制系统、窃取信息，同时维护受陷主机的后门。研究人员指出，“在易受攻击服务器中实现 web shell 的战略并非恶意人员的新技术。恶意软件作者通常会采取这种方式启动 exploit 或远程运行命令。”

https://thehackernews.com/2022/07/hackers-targeting-voip-servers-by.html

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~