最近，Unit 42的研究人員發(fā)現(xiàn)了一項(xiàng)針對(duì)2021年12月以來(lái)Digium手機(jī)中使用的Elastix系統(tǒng)的活動(dòng)。威脅參與者利用Rest Phone Apps (restapps)模塊中的一個(gè)漏洞，編號(hào)為CVE-2021-45461 (CVSS評(píng)分9.8)，在VoIP服務(wù)器上植入一個(gè)web shell。攻擊者通過(guò)在目標(biāo)的Digium手機(jī)軟件中放置額外的有效載荷，利用web shell來(lái)竊取數(shù)據(jù)。

根據(jù)Palo Alto Networks Unit 42 發(fā)布的公告，“截至目前，從2021年12月底到2022年3月底，我們已經(jīng)見(jiàn)證了該家族超過(guò)50萬(wàn)個(gè)獨(dú)特的惡意軟件樣本。該惡意軟件會(huì)在web服務(wù)器的文件系統(tǒng)上安裝多層混淆的PHP后門，下載新的有效負(fù)載以執(zhí)行并安排重復(fù)的任務(wù)來(lái)重新感染主機(jī)系統(tǒng)。 此外，惡意軟件會(huì)向每個(gè)下載的惡意軟件植入一個(gè)隨機(jī)的垃圾字符串，以試圖規(guī)避基于IoCs的簽名防御。”

研究人員還觀察到，在 2021 年 12 月中旬至 2022 年 3 月期間，大量惡意流量可能來(lái)自超過(guò)50萬(wàn)個(gè)獨(dú)特的樣本。這些流量的目標(biāo)是用于VoIP電話設(shè)備的Digium 開(kāi)源 Asterisk 通信軟件。該惡意活動(dòng)與兩年前Check Point Research 在 2020 年詳述的INJ3CTOR3 報(bào)告有許多相似之處 ，專家推測(cè)這可能是該活動(dòng)的死灰復(fù)燃。該攻擊鏈從遠(yuǎn)程服務(wù)器檢索shell腳本釋放器的代碼開(kāi)始，然后在文件系統(tǒng)的多個(gè)位置下載并執(zhí)行混淆的 PHP 后門程序，PHP 后門還會(huì)創(chuàng)建多個(gè)root用戶帳戶并設(shè)置計(jì)劃任務(wù)來(lái)維護(hù)持久性并重新感染主機(jī)系統(tǒng)，該惡意軟件通過(guò)cmd請(qǐng)求參數(shù)支持任意命令以及允許操作員執(zhí)行惡意活動(dòng)的內(nèi)置默認(rèn)命令。

該報(bào)告還顯示，在易受攻擊的服務(wù)器中植入 web shell 的策略對(duì)于惡意行為者來(lái)說(shuō)并不是一種新策略。捕獲高級(jí)入侵的唯一方法是深度防御策略。只有通過(guò)在一個(gè)窗格中編排多個(gè)安全設(shè)備和應(yīng)用程序，防御者才能檢測(cè)到這些攻擊。

參考來(lái)源：https://securityaffairs.co/wordpress/133293/hacking/digium-phones-attacks.html