Sistemi VoIP Elastix presi di mira da una massiccia campagna di malware

Sistemi VoIP Elastix presi di mira da una massiccia campagna di malware

Diversi attori delle minacce hanno attaccato i server di telefonia VoIP (si apre in una nuova scheda) di proprietà di Elastix con oltre 500,000 diversi campioni di malware (si apre in una nuova scheda) tra dicembre 2021 e marzo 2022, affermano i ricercatori.

Elastix è un software server per comunicazioni unificate che riunisce strumenti per IP PBX, e-mail, messaggistica istantanea, fax e collaborazione.

I ricercatori presumono che gli aggressori abbiano sfruttato CVE-2021-45461, una vulnerabilità di alta gravità (9.8) che consente l'esecuzione di codice in modalità remota. Il loro obiettivo era implementare una shell Web PHP che consentisse loro di eseguire codice arbitrario su endpoint compromessi.

Mimetizza con l'ambiente

Gli esperti dell'Unità 42 di Palo Alto Networks che per primi hanno visto la campagna hanno affermato che due gruppi di attacco separati, utilizzando metodi diversi per sfruttare i difetti, hanno cercato di implementare uno script di shell in miniatura, che installa una backdoor PHP e fornisce agli aggressori l'accesso come root.

"Questo dropper tenta anche di integrarsi nell'ambiente esistente falsificando il timestamp del file backdoor PHP installato con quello di un file noto già presente nel sistema", hanno osservato i ricercatori.

Gli indirizzi IP dei gruppi si trovano nei Paesi Bassi, è stato spiegato più dettagliatamente, ma i dati DNS puntano a siti per adulti russi. L'infrastruttura di consegna del carico utile è attiva solo parzialmente, al momento.

La campagna è ancora in corso, hanno concluso i ricercatori.

A seconda dell'obiettivo della campagna, i server aziendali sono talvolta un obiettivo di valore superiore rispetto ai computer aziendali, ai laptop o ad altri endpoint. I server sono spesso dispositivi più potenti e possono essere utilizzati, ad esempio, come parte di una potente botnet che invia migliaia di richieste al secondo.

I server possono anche essere utilizzati per implementare software di mining di criptovalute, guadagnando preziose criptovalute per i loro aggressori. E infine, se i server sono condivisi (ad esempio, in un ambiente cloud), una possibile violazione dei dati potrebbe compromettere più aziende contemporaneamente e tutti i loro clienti insieme.

Via: BleepingComputer (si apre in una nuova scheda)