Los teléfonos VoIP que utilizan el software de Digium han sido objeto de lanzar un shell web en sus servidores como parte de una campaña de ataque diseñada para exfiltrar datos mediante la descarga y ejecución de cargas útiles adicionales.
«El malware instala puertas traseras PHP ofuscadas multicapa en el sistema de archivos del servidor web, descarga nuevas cargas útiles para su ejecución y programa tareas recurrentes para volver a infectar el sistema host», Palo Alto Networks Unit 42 dijo en un informe del viernes.
Se dice que la actividad inusual comenzó a mediados de diciembre de 2021 y apunta a Asterisk, una implementación de software ampliamente utilizada de una centralita privada (PBX) que se ejecuta en el servidor de comunicaciones unificadas Elastix de código abierto.
La Unidad 42 dijo que las intrusiones comparten similitudes con la campaña INJ3CTOR3 que la firma de ciberseguridad israelí Check Point reveló en noviembre de 2020, aludiendo a la posibilidad de que podrían ser un «resurgimiento» de los ataques anteriores.
Coincidiendo con el aumento repentino está la divulgación pública en diciembre de 2021 de una falla de ejecución remota de código ahora parcheada en PBX gratis, una GUI de código abierto basada en la web que se utiliza para controlar y administrar Asterisk. rastreado como CVE-2021-45461el problema tiene una calificación de 9,8 sobre 10 en cuanto a gravedad.
Los ataques comienzan con la recuperación de un script de cuentagotas inicial de un servidor remoto que, a su vez, está orquestado para instalar el shell web de PHP en diferentes ubicaciones en el sistema de archivos y crear dos cuentas de usuario raíz para mantener el acceso remoto.
Además, crea una tarea programada que se ejecuta cada minuto y obtiene una copia remota del script de shell del dominio controlado por el atacante para su ejecución.
Además de tomar medidas para cubrir sus huellas, el malware también está equipado para ejecutar comandos arbitrarios, lo que en última instancia permite a los piratas informáticos tomar el control del sistema, robar información y, al mismo tiempo, mantener una puerta trasera para los hosts comprometidos.
«La estrategia de implantar shells web en servidores vulnerables no es una táctica nueva para los actores malintencionados», dijeron los investigadores, y agregaron que es un «enfoque común que los autores de malware adoptan para lanzar exploits o ejecutar comandos de forma remota».