Ошибка 404, которой нельзя верить. Хакеры нашли новый способ маскировать присутствие в сети

Обычная уязвимость в телефонии превратилась в полноценный захват сервера. Специалисты обнаружили вредоносную веб-оболочку EncystPHP, которая закрепляется в FreePBX и даёт злоумышленникам постоянный административный доступ к системе.

Атаки начались в начале декабря прошлого года. Нападавшие использовали уязвимость CVE-2025-64328 в модуле Endpoint Manager платформы FreePBX версий 17.0.2.36–17.0.3. Ошибка позволяла внедрять команды после входа в административную панель. В результате злоумышленники загружали на сервер специальный загрузчик, который разворачивал EncystPHP.

Источник атак находился в Бразилии. Целью стала инфраструктура, которой управляла индийская технологическая компания, работающая с облачными и телеком-сервисами. Вредоносный файл загружался с адреса 45.234.176.202, связанного с доменом crm.razatelefonia.pro. При обращении к определённому пути сервер автоматически перенаправлял жертву на другой загрузчик.

Анализ показал связь кампании с группировкой INJ3CTOR3. С 2020 года группа эксплуатировала уязвимости в телеком-платформах, а в 2022 году переключилась на систему Elastix. Текущая активность повторяет прежние приёмы, но использует новую дыру в FreePBX.

EncystPHP действует аккуратно и методично. Сначала загрузчик меняет права доступа к системным файлам FreePBX, делая их недоступными для чтения и изменения. Затем вредоносный код извлекает конфигурацию базы данных из файла /etc/freepbx.conf, удаляет задания планировщика и учётные записи, включая ampuser и svc_freepbx. После этого программа ищет другие веб-оболочки по характерным строкам и функциям и удаляет найденные файлы. Таким образом злоумышленники устраняют «конкурентов» и зачищают среду.

Для закрепления EncystPHP создаёт нового пользователя с правами root под именем newfpbx, назначает нескольким учётным записям одинаковый пароль и повышает привилегии. Затем внедряет собственный SSH-ключ и следит за тем, чтобы порт 22 оставался открытым. Сервер получает постоянную точку входа даже при смене паролей.

Веб-оболочка маскируется под легитимный файл ajax.php в каталоге FreePBX. Код хранится в формате Base64 и расшифровывается при запуске. Аутентификация устроена просто: введённый пароль хешируется алгоритмом MD5 и сравнивается с заранее заданным значением. После входа открывается интерфейс с названием Ask Master. Через него злоумышленник просматривает файловую систему, процессы, активные каналы Asterisk, SIP-абонентов и конфигурацию FreePBX и Elastix. Оболочка выполняет произвольные команды и может инициировать исходящие звонки через скомпрометированную АТС.

Отдельный загрузчик k.php дублирует веб-оболочку по множеству каталогов в /var/www/html/, включая директории, имитирующие компоненты телефонии. Временные метки файлов подгоняются под легитимные, чтобы администратор не заметил подмену при беглой проверке. Дополнительно вредоносный код создаёт файл .htaccess с правилами перенаправления и запускает вспомогательные сценарии, которые затем удаляет для сокрытия следов.

Механизм закрепления состоит из нескольких уровней. Загрузчик добавляет задания в cron, которые каждую минуту скачивают новые копии вредоносных файлов. Сценарии периодически создают иллюзию удаления EncystPHP, выводя команды rm без реального выполнения. Отдельный файл license.php вновь загружает оба загрузчика, отключает вывод ошибок и очищает журналы. Даже частичное удаление не гарантирует очистку сервера.

Специалисты подчёркивают, что успешная эксплуатация CVE-2025-64328 означает полный компромисс системы. EncystPHP прячется среди штатных компонентов FreePBX и Elastix, поэтому обнаружить заражение непросто. Риск касается не только доступа к серверу, но и злоупотребления телефонными ресурсами.

Параллельно опубликован отчёт Compromised Website Report с критическим уровнем опасности. В документ включают сайты и устройства, на которых удалённо выявили веб-оболочки или другие следы взлома. В списке присутствуют веб-оболочки в Sangoma FreePBX, связанные с эксплуатацией CVE-2025-57819, а также компрометации Microsoft SharePoint через CVE-2025-53770, Fortinet FortiWeb через CVE-2025-25257, SAP NetWeaver через CVE-2025-31324 и ряд инцидентов с устройствами Ivanti, Citrix, Palo Alto Networks и другими платформами. Авторы предупреждают, что ответ 404 при проверке адреса не означает отсутствие веб-оболочки. Проверку нужно проводить на стороне сервера. Кроме того, один и тот же узел часто используют разные группы, поэтому при обнаружении признаков взлома следует искать дополнительные следы присутствия.

Антивирусные средства производителя уже детектируют EncystPHP как PHP/EncystPHP.A!tr и BASH/EncystPHP.A!tr, а системы предотвращения вторжений блокируют попытки эксплуатации CVE-2025-64328. Администраторам FreePBX советуют срочно установить обновления, проверить серверы на наличие посторонних учётных записей и заданий cron, а при малейших сомнениях рассматривать инцидент как полный захват инфраструктуры.