Злоумышленники атакуют VoIP-серверы с помощью ПО телефонов Digium

Исследователи из Unit 42 (Palo Alto Networks) обнаружили масштабную хакерскую кампанию, нацеленную на систему Elastix, используемую в телефонах Digium с декабря 2021 года. По словам специалистов, злоумышленники эксплуатируют уязвимость под идентификатором CVE-2021-45461 (имеет 9,8 баллов из 10 по шкале CVSS), находящуюся в модуле restapps и позволяющую внедрять web-оболочки на VoIP-серверы. Пользуясь внедренными web-оболочками, хакеры похищают данные пользователей, развертывая дополнительную полезную нагрузку в ПО телефонов Digium.

В своем сообщении исследователи сообщили, что им удалось зафиксировать более 500 000 уникальных образцов вредоносных программ одного семейства за период с конца декабря 2021 года по конец марта 2022 года. По их словам, вредонос устанавливает сложный многоуровневый PHP-бэкдор в файловую систему веб-сервера, развертывает новые полезные нагрузки и обеспечивает себе устойчивость за счет повторяющихся задач. Кроме этого, PHP-бэкдоры создают два аккаунта с root-правами, позволяющими получить удаленный доступ к системе.

Стоит заметить, что специалисты считают эту вредоносную кампанию обновленным вариантом другой кампании , описанной в 2020 году компанией Check Point.