Системы Elastix VoIP стали мишенью масштабной кампании вредоносного ПО

Системы Elastix VoIP стали мишенью масштабной кампании вредоносного ПО

18 июля 2022 г.

Несколько различных злоумышленников атаковали VoIP серверы телефонии, принадлежащие Elastix. с более чем 500 000 различных образцов вредоносного ПО в период с декабря 2021 года по март 2022 года, утверждают исследователи. .

Elastix — это серверное программное обеспечение для унифицированных коммуникаций, объединяющее IP-АТС, электронную почту, мгновенные сообщения, факсимильные сообщения и средства совместной работы.

Исследователи предполагают, что злоумышленники использовали CVE-2021-45461, уязвимость высокого уровня опасности (9.8), позволяющая удаленно выполнять код. Их целью было настроить веб-оболочку PHP, которая позволила бы запускать произвольный код на скомпрометированных конечных точках.

Слияние с окружающей средой

Эксперты из подразделения 42 Palo Alto Networks, которые первыми заметили кампанию, заявили, что две отдельные группы злоумышленников, используя разные методы для использования брешей, пытались развернуть миниатюрный сценарий оболочки, который устанавливает бэкдор PHP и предоставляет злоумышленникам корневой доступ.

«Этот дроппер также пытается вписаться в существующую среду, подменяя временную метку установленного файла бэкдора PHP на временную метку известного файла, который уже находится в системе», — отметили исследователи.

IP-адреса групп находятся в Нидерландах, как было объяснено далее, но данные DNS указывают на российские сайты для взрослых. Инфраструктура доставки полезной нагрузки в настоящее время активна лишь частично.

Подробнее

> Серверы Microsoft Exchange взламываются для развертывания программ-вымогателей<сильный>

> Новое неприятное вредоносное ПО нацелено на Microsoft Серверы Exchange

> Ознакомьтесь с нашим списком лучших брандмауэров прямо сейчас

Кампания все еще продолжается, заключили исследователи.

В зависимости от цели кампании корпоративные серверы иногда являются более ценной целью, чем компьютеры, ноутбуки или другие конечные устройства компании. Серверы обычно являются более мощными устройствами и могут использоваться, например, как часть мощной бот-сети, доставляющей тысячи запросов в секунду.

Серверы также можно использовать для развертывания программного обеспечения для криптомайнинга, зарабатывая ценные криптовалюты для своих злоумышленников. И, наконец, если серверы являются общими (например, в облачной среде), потенциальная утечка данных может поставить под угрозу сразу несколько компаний и всех их клиентов вместе взятых.

Через: BleepingComputer

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE

COPYRIGHT 2020 COFFEE-WEB.RU