500.000'den Fazla Kötü Amaçlı Yazılım Örneği Dağıtmak için Elastix VoIP Telefon Sunucularını Hedefleyen Tehdit Aktörleri
Tehdit analistleri tarafından üç aylık bir süre içinde elde edilen 500.000'den fazla kötü amaçlı yazılım örneğinin analizi, Elastix VoIP telefon sunucularını hedef alan kapsamlı bir kampanyayı ortaya çıkardı. Aynı zamanda, tehdit aktörleri bunu onlardan hassas verileri çalmak için yapıyorlar.
FreePBX'te Digium telefonlar modülü, birleşik iletişimi yöneten sunucu yazılımı Elastix ile entegredir. CVE-2021-45461, saldırganların uzaktan kod yürütmek için yararlanmış olabileceği bir RCE güvenlik açığıdır.
Son kampanyanın, tehdit aktörleri tarafından Aralık 2021'den bu yana istismar edilen güvenlik açığıyla bağlantılı olduğu görülüyor.
Görünüşe göre, saldırganların hedeflerinden biri, Unit 42'deki Palo Alto Networks güvenlik araştırmacısına göre, bir kullanıcının makinesine bir PHP web kabuğu kurmaktı. Bir iletişim sunucusunun güvenliğinin aşılması, rasgele komutların yürütülmesine neden olabilir.
Aralık 2021 ile Mart 2022 arasındaki dönemde, tehdit aktörü tarafından aile içindeki 500.000'den fazla kötü amaçlı yazılım örneği dağıtıldı. Bu kampanya ile 2020 yılında gerçekleşen ve bugün hala aktif olan bir operasyon arasında birkaç benzerlik var.
Kusur Profili
- CVE KİMLİĞİ: CEVE-2021-45461
- Açıklama: FreePBX, restapps (aka Rest Phone Apps) 15.0.19.87, 15.0.19.88, 16.0.18.40 veya 16.0.18.41 yüklendiğinde, Aralık 2021'de vahşi doğada istismar edildiği gibi uzak saldırganların rastgele kod yürütmesine izin verir. Sabit sürümler 15.0.20 ve 16.0.19'dur.
- Kaynak: MITRE
- CVSS Puanı: 9.8
- Önem Derecesi: Kritik
Çalışma Şekli
Aşağıda Çalışma Şeklinden Bahsettik:
- İlgili IP aralıklarını alma
- IP'leri farklı SIP hizmetleri için tarama
- İlgili hizmetleri içeren bir hedef listesi oluşturma
- SIP sunucularının güvenliğini aşmaya çalışma
- Sunucularda bir dayanak noktası kazanmak
- Sunucuyu kâr için kullanma
Enfeksiyon Ve Saldırı Akışı
Küçük bir kabuk komut dosyası bırakma çabasıyla, iki saldırı grubunun hedeflerine ulaşmak için farklı ilk istismar komut dosyaları kullandıkları gözlemlendi.
Komut dosyasının kullanılmasıyla, PHP arka kapısı, kök kullanıcı hesaplarının oluşturulması ve kalıcılığı sağlamak için zamanlanmış bir görev ile birlikte hedef cihaza yüklenir.
Bu damlalık tarafından yüklenen PHP arka kapı dosyası, mevcut ortama karışmak amacıyla dosyanın zaman damgasını taklit ederek de taklit edilir.
Birkaç Rus yetişkin sitesi ile her iki gruptaki saldırganların IP adresleri arasında bir bağlantı varken, DNS kayıtları sitelerin çoğunun aslında Hollanda'da bulunduğunu göstermektedir.
Cmd request parametresini kullanarak, kötü amaçlı yazılım her iki komutu da destekler:
- Rastgele komutlar
- Yerleşik varsayılan komutlar
Ayrıca, dosyaları okumak, dizinleri listelemek ve kabukta da bulunan Asterisk açık kaynaklı PBX platformu hakkında bilgi edinmek için kullanılabilecek web kabuğuyla birlikte gelen bir dizi yerleşik komut da vardır.
Yerleşik bir operasyon olarak, bu zaman zaman ortaya çıkabilecek bir olgudur. IPRN ile telefon görüşmeleri yapmak, telefon görüşmeleri yaparken para kazanmanıza olanak tanır ve bunun tersi de ikisini birbirine bağlar.
Başka bir deyişle, bu sistemler saldırganın yararlanabileceği daha fazla saldırı başlatmak için kullanılabilir.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News