ผู้โจมตีหลายรายโจมตีเซิร์ฟเวอร์โทรศัพท์ VoIP (เปิดในแท็บใหม่) ของ Elastix โดยมีตัวอย่างมัลแวร์มากกว่า 500,000 ตัวอย่าง (เปิดในแท็บใหม่) ระหว่างเดือนธันวาคม 2021 ถึงมีนาคม 2022 นักวิจัยกล่าว
Elastix เป็นซอฟต์แวร์เซิร์ฟเวอร์การสื่อสารแบบรวมศูนย์ที่รวบรวมเครื่องมือสำหรับ IP PBX, อีเมล, ข้อความโต้ตอบแบบทันที, แฟกซ์ และการทำงานร่วมกัน
นักวิจัยสันนิษฐานว่าผู้โจมตีใช้ช่องโหว่ CVE-2021-45461 ซึ่งเป็นช่องโหว่ที่มีความรุนแรงสูง (9.8) ซึ่งช่วยให้สามารถเรียกใช้โค้ดจากระยะไกลได้ เป้าหมายของพวกเขาคือการใช้เว็บเชลล์ PHP ที่จะอนุญาตให้รันโค้ดตามอำเภอใจบนปลายทางที่ถูกบุกรุก
กลมกลืนกับสิ่งแวดล้อม
ผู้เชี่ยวชาญ Palo Alto Networks หน่วย 42 ที่เห็นแคมเปญนี้เป็นครั้งแรกกล่าวว่ากลุ่มโจมตีสองกลุ่มแยกกันโดยใช้วิธีการที่แตกต่างกันเพื่อใช้ประโยชน์จากข้อบกพร่อง พยายามใช้สคริปต์เชลล์ขนาดเล็กซึ่งติดตั้งแบ็คดอร์ PHP และให้สิทธิ์การเข้าถึงรูทแก่ผู้โจมตี
"Este cuentagotas también intenta mezclarse con el entorno existente falsificando la marca de tiempo del archivo de puerta trasera de PHP instalado con la de un archivo conocido que ya está en el sistema", señalaron los investigadores.
ที่อยู่ IP ของกลุ่มอยู่ในเนเธอร์แลนด์ มีการอธิบายรายละเอียดเพิ่มเติม แต่ข้อมูล DNS ชี้ไปที่ไซต์สำหรับผู้ใหญ่ของรัสเซีย โครงสร้างพื้นฐานการส่งมอบเพย์โหลดใช้งานได้เพียงบางส่วนเท่านั้นในขณะนี้
นักวิจัยสรุปว่าการรณรงค์ยังคงดำเนินต่อไป
เซิร์ฟเวอร์ขององค์กรบางครั้งอาจเป็นเป้าหมายที่มีมูลค่าสูงกว่าคอมพิวเตอร์ แล็ปท็อป หรือปลายทางอื่นๆ ทั้งนี้ขึ้นอยู่กับเป้าหมายของแคมเปญ เซิร์ฟเวอร์มักจะเป็นอุปกรณ์ที่มีประสิทธิภาพมากกว่าและสามารถใช้ได้ เช่น เป็นส่วนหนึ่งของบ็อตเน็ตอันทรงพลังที่ส่งคำขอนับพันต่อวินาที
เซิร์ฟเวอร์ยังสามารถใช้ซอฟต์แวร์การขุด crypto เพื่อรับ cryptocurrencies อันมีค่าสำหรับผู้โจมตี และสุดท้าย หากมีการแชร์เซิร์ฟเวอร์ (เช่น ในสภาพแวดล้อมคลาวด์) การละเมิดข้อมูลที่เป็นไปได้อาจส่งผลกระทบต่อบริษัทหลายแห่งพร้อมกันและลูกค้าทั้งหมดพร้อมกัน
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)