استهداف هواتف VOIP
تم استهداف هواتف VoIP التي تستخدم برنامج Digium لإسقاط web shell على خوادمها كجزء من حملة هجوم مصممة لتصفية البيانات عن طريق تنزيل وتنفيذ حمولات (Payloads) إضافية.
قالت Palo Alto Networks Unit 42 في تقرير يوم الجمعة.
"تقوم البرامج الضارة بتثبيت أبواب PHP الخلفية (backdoors) لنظام ملفات خادم الويب ، وتنزيل حمولات (Payloads) جديدة للتنفيذ ، وجدولة المهام المتكررة لإعادة إصابة النظام المضيف (host system)"
ويقال إن النشاط غير العادي قد بدأ في منتصف ديسمبر 2021 ويستهدف Asterisk، وهو تطبيق برمجي يستخدم على نطاق واسع private branch exchange (PBX)
تعمل على خادم Elastix Unified Communications مفتوح المصدر.
وقالت Unit 42 إن الاختراقات تشترك في أوجه التشابه مع حمله ING3CTOR3 التي كشفت عنها شركة الأمن السيبراني الإسرائيلية Check Point في نوفمبر 2020 ، مما يشير إلى احتمال أن تكون "عودة" للهجمات السابقة
يتزامن مع الزيادة المفاجئة الكشف العام في ديسمبر 2021 عن عيب في تنفيذ التعليمات البرمجية عن بعد تم تصحيحه الآن في freePBX ، وهي واجهة مستخدم رسومية مفتوحة المصدر قائمة على الويب تستخدم للتحكم في Asterisk وإدارتها. تم تتبع المشكلة على أنها CVE-2021-4546 ، وتم تصنيفها 9.8 من أصل 10 من حيث الشدة.
تبدأ الهجمات باسترداد برنامج نصي( shell script from a remote server )، والذي بدوره يتم تنسيقه لتثبيت shell web PHP في مواقع مختلفة في نظام الملفات بالإضافة إلى إنشاء حسابين للمستخدم الجذر للحفاظ على الوصول عن بعد.
كما يقوم بإنشاء مهمة مجدولة يتم تشغيلها كل دقيقة ويجلب نسخة بعيدة من البرنامج النصي shell من المجال (domain) الذي يتحكم فيه المهاجم للتنفيذ.
إلى جانب اتخاذ تدابير لتغطية مساراتها ، تم تجهيز البرامج الضارة أيضا لتشغيل أوامر تعسفية ، مما يسمح في النهاية للمتسللين بالسيطرة على النظام ، وسرقة المعلومات ، مع الحفاظ أيضا على باب خلفي للمضيفين المخترقين.
وقال الباحثون: "إن استراتيجية زرع web shells في الخوادم الضعيفة ليست تكتيكا جديدا للجهات الفاعلة الخبيثة" ، مضيفين أنها "نهج شائع يتخذه مؤلفو البرامج الضارة لإطلاق عمليات الاستغلال أو تشغيل الأوامر عن بعد".
👏👏
ردحذف