Analistas de ameaças descobriram uma campanha em grande escala direcionada aos servidores de telefonia VoIP Elastix com mais de 500.000 amostras de malware durante um período de três meses.

Elastix é um software de servidor para comunicações unificadas (Internet Protocol Private Branch Exchange [IP PBX], e-mail, mensagens instantâneas, fax) que é usado no módulo de telefones Digium para FreePBX .

Os invasores podem ter explorado uma vulnerabilidade de execução remota de código (RCE) identificada como CVE-2021-45461, com uma classificação de gravidade crítica de 9,8 em 10.

Os adversários exploram essa vulnerabilidade desde dezembro de 2021 e a campanha recente parece estar ligada ao problema de segurança.

Pesquisadores de segurança da Unidade 42 da Palo Alto Networks dizem que o objetivo dos invasores era plantar um web shell PHP que pudesse executar comandos arbitrários no servidor de comunicações comprometido.

Em um relatório na sexta-feira, os pesquisadores dizem que o agente da ameaça implantou “mais de 500.000 amostras de malware exclusivas desta família” entre dezembro de 2021 e março de 2022.

A campanha ainda está ativa e compartilha várias semelhanças com outra operação em 2020 que foi relatada por pesquisadores da empresa de segurança cibernética Check Point .

Detalhes do ataque
Os pesquisadores observaram dois grupos de ataque usando diferentes scripts de exploração inicial para descartar um script de shell de tamanho pequeno. O script instala o backdoor PHP no dispositivo de destino e também cria contas de usuário root e garante a persistência por meio de tarefas agendadas.

 Um dos dois scripts usados ​​para o compromisso inicial (Palo Alto Networks)

“Esse dropper também tenta se misturar ao ambiente existente falsificando o carimbo de data/hora do arquivo backdoor PHP instalado para um arquivo conhecido já no sistema”, observam os pesquisadores de segurança.

Os endereços IP dos invasores de ambos os grupos estão localizados na Holanda, enquanto os registros DNS revelam links para vários sites adultos russos. Atualmente, partes da infraestrutura de entrega de carga útil permanecem online e operacionais.

A tarefa agendada criada pelo primeiro script é executada a cada minuto para buscar um web shell PHP que é codificado em base64 e pode gerenciar os seguintes parâmetros nas solicitações da web recebidas:

 > md5 – hash de autenticação MD5 para login remoto e interação com web shell.
 > admin – Selecione entre a sessão de administrador Elastic e Freepbx.
 > cmd – Execute comandos arbitrários remotamente
 > call – Inicie uma chamada da interface de linha de comando do Asterisk (CLI)

O web shell também apresenta um conjunto adicional de oito comandos integrados para leitura de arquivos, listagem de diretórios e reconhecimento da plataforma PBX de código aberto Asterisk.

O relatório da Unit42 inclui detalhes técnicos sobre como as cargas úteis são descartadas e algumas táticas para evitar a detecção no ambiente existente. Além disso, uma lista de indicadores de comprometimento revela caminhos de arquivos locais que o malware usa, strings exclusivas, hashes para scripts de shell e URLs públicos que hospedam as cargas úteis.

Font: BleepingComputer