ระบบ Elastix VoIP ถูกแฮ็กเพื่อติดตั้ง PHP web shells

นักวิเคราะห์ภัยคุกคามได้เปิดเผยแคมเปญการโจมตีที่มุ่งเป้าไปยังเซิร์ฟเวอร์ Elastix VoIP telephony ด้วยมัลแวร์มากกว่า 500,000 ตัวในช่วงสามเดือนที่ผ่านมา

Elastix เป็นซอฟต์แวร์ที่ใช้กับเซิร์ฟเวอร์สำหรับการสื่อสารแบบ unified communications (Internet Protocol Private Branch Exchange [IP PBX], อีเมล, instant messaging, แฟกซ์) ที่สามารถใช้กับ Digium phones module สำหรับ FreePBX

โดยคาดว่าผู้โจมตีอาจใช้ช่องโหว่ Remote Code Execution (RCE) หมายเลข CVE-2021-45461 ซึ่งมีระดับความรุนแรง 9.8 โดยพบว่ามีการโจมตีด้วยช่องโหว่นี้ตั้งแต่เดือนธันวาคม 2021 และดูเหมือนว่าแคมเปญล่าสุดก็ดูจะมีความเกี่ยวข้องกับช่องโหว่ดังกล่าว

นักวิจัยด้านความปลอดภัย Unit42 ของ Palo Alto Networks ระบุว่าเป้าหมายของผู้โจมตีคือการสร้าง PHP web shells ที่สามารถเรียกใช้คำสั่งบนเซิร์ฟเวอร์ที่ถูกโจมตีได้ จากรายงานเมื่อวันศุกร์ที่ 15 กรกฎาคมที่ผ่านมา นักวิจัยกล่าวว่าผู้โจมตีได้ใช้มัลแวร์ที่ไม่ซ้ำกันมากกว่า 500,000 ตัวอย่าง ระหว่างเดือนธันวาคม 2564 ถึงมีนาคม 2565 แคมเปญนี้ยังคงพบอยู่ และคล้ายกับการโจมตีที่ถูกรายงานโดยนักวิจัยจาก Check Point ในปี 2020

รายละเอียดการโจมตี

นักวิจัยพบว่ากลุ่มผู้โจมตีสองกลุ่มที่ใช้สคริปต์ในการโจมตีที่แตกต่างกันเพื่อติดตั้ง shell script ขนาดเล็ก โดยสคริปต์จะติดตั้งแบ็คดอร์ PHP บนระบบเป้าหมาย และสร้างบัญชีที่มีสิทธิ์ root และสร้าง scheduled tasks เพื่อทำให้สามารถแฝงตัวอยู่บนระบบได้เป็นเวลานาน

ที่อยู่ IP ของผู้โจมตีจากทั้งสองกลุ่มอยู่ใน เนเธอร์แลนด์ ในขณะที่ DNS records เชื่อมโยงไปยังเว็ปไซต์สำหรับผู้ใหญ่จากรัสเซีย ปัจจุบันการรับส่งเพย์โหลดบางส่วนยังคงออนไลน์ และใช้งานได้อยู่

scheduled task ที่ถูกสร้างจะรันทุกนาทีเพื่อดึง PHP web shell ที่เข้ารหัส base64 และสามารถรับคำสั่งพารามิเตอร์ต่อไปนี้ได้:

md5 – MD5 authentication hash for remote login and web shell interaction.