最近,Unit42的研究人员发现了一个针对2021年12月以来Digium手机中使用的Elastix系统的活动。威胁行为者利用RestPhoneApps(restapps)模块中的漏洞,跟踪如CVE-2021-45461(CVSS得分9.8),在VoIP服务器上植入Webshell。攻击者通过在目标的Digium手机软件中放置额外的有效载荷来利用Webshell来泄露数据。根据PaloAltoNetworksUnit42发布的公告,“截至目前,从2021年12月下旬到2022年3月下旬,我们已经目睹了超过500,000个该家族的独特恶意软件样本。安装了多层混淆的PHP“系统上的后门,下载新的有效负载以执行并安排重复性任务以重新感染主机系统。此外,该恶意软件将随机的垃圾字符串植入每个下载的恶意软件中,以试图绕过基于IoC的签名防御。”研究人员还观察到,在2021年12月中旬至2022年3月期间,大量恶意流量可能来自超过500,000个独特样本。这些流量的目的地是Digium用于VoIP电话设备的开源Asterisk通信软件。该活动与CheckPointResearch两年前详述的2020年INJ3CTOR3报告有许多相似之处,专家推测这可能是该活动的死灰复燃。攻击链从远程服务器获取shell脚本dropper的代码开始,然后在文件系统的多个位置下载并执行混淆后的PHP后门,PHP后门还会创建多个root用户账户并设置计划任务以保持持久性为了重新感染主机系统,该恶意软件通过cmd请求参数支持任意命令以及允许操作员执行恶意活动的内置默认命令。该报告还透露,在易受攻击的服务器中植入网络外壳的策略并不是恶意行为者的新策略。捕获高级入侵的唯一方法是纵深防御策略。防御者只能通过在单一管理平台中编排多个安全设备和应用程序来检测这些攻击。参考来源:https://securityaffairs.co/wordpress/133293/hacking/digium-phones-attacks.html
