Bir dizi farklı tehdit aktörü VoIP’ye saldırdı (yeni sekmede açılır) 500.000’den fazla farklı kötü amaçlı yazılım içeren Elastix’e ait telefon sunucuları (yeni sekmede açılır) Araştırmacılar, Aralık 2021 ile Mart 2022 arasındaki örneklerin olduğunu iddia etti.
Elastix, IP PBX, e-posta, IM, faks ve işbirliği araçlarını bir araya getiren bir birleşik iletişim sunucusu yazılımıdır.
Araştırmacılar, saldırganların uzaktan kod yürütülmesine izin veren yüksek önemde (9.8) bir güvenlik açığı olan CVE-2021-45461’den yararlandığını düşünüyorlar. Amaçları, güvenliği ihlal edilmiş uç noktalarda rastgele kod çalıştırmalarına izin verecek bir PHP web kabuğu oluşturmaktı.
Ortama karışma
Kampanyayı ilk fark eden Palo Alto Networks’ün 42. Biriminden uzmanlar, kusurlardan yararlanmak için farklı yöntemler kullanan iki ayrı saldırı grubunun, bir PHP arka kapısı yükleyen ve saldırganlara kök erişimi sağlayan minyatür bir kabuk komut dosyası dağıtmaya çalıştığını söyledi.
Araştırmacılar, “Bu damlalık aynı zamanda kurulu PHP arka kapı dosyasının zaman damgasını sistemde zaten bulunan bilinen bir dosyanınkiyle taklit ederek mevcut ortama uyum sağlamaya çalışıyor” dedi.
Grupların IP adresleri Hollanda’da, daha ayrıntılı olarak açıklandı, ancak DNS verileri Rus yetişkin sitelerine işaret ediyor. Yük dağıtım altyapısı şu anda yalnızca kısmen etkindir.
Araştırmacılar, kampanyanın hala devam ettiği sonucuna vardı.
Kampanya hedefine bağlı olarak, kurumsal sunucular bazen bilgisayarlardan, dizüstü bilgisayarlardan veya diğer şirket uç noktalarından daha değerli bir hedeftir. Sunucular genellikle daha güçlü cihazlardır ve örneğin saniyede binlerce istek sağlayan güçlü bir botnet’in parçası olarak kullanılabilir.
Sunucular ayrıca, saldırganları için değerli kripto para birimleri kazanarak kripto madenciliği yazılımını dağıtmak için kullanılabilir. Ve son olarak, sunucular paylaşılırsa (örneğin, bir bulut ortamında), olası bir veri ihlali aynı anda birden fazla şirketin ve tüm müşterilerinin güvenliğini tehlikeye atabilir.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)