VoIP-Telefone, die die Software von Digium verwenden, wurden gezielt angegriffen, um eine Web-Shell auf ihren Servern abzulegen. Dies war Teil einer Angriffskampagne, die darauf abzielte, Daten durch das Herunterladen und Ausführen zusätzlicher Nutzdaten zu exfiltrieren.
„Die Malware installiert mehrschichtige, verschleierte PHP-Hintertüren im Dateisystem des Webservers, lädt neue Nutzdaten zur Ausführung herunter und plant wiederkehrende Aufgaben zur erneuten Infektion des Host-Systems“, so Palo Alto Networks Unit 42 in einem Bericht vom Freitag.
Die ungewöhnliche Aktivität soll Mitte Dezember 2021 begonnen haben und zielt auf Asterisk ab, eine weit verbreitete Software-Implementierung einer Nebenstellenanlage (PBX), die auf dem Open-Source Elastix Unified Communications Server läuft.
Laut Unit 42 haben die Angriffe Ähnlichkeiten mit der INJ3CTOR3-Kampagne, die das israelische Cybersicherheitsunternehmen Check Point im November 2020 aufgedeckt hat, und deuten auf die Möglichkeit hin, dass es sich um ein „Wiederaufleben“ der früheren Angriffe handeln könnte.
Zeitgleich mit dem plötzlichen Anstieg wurde im Dezember 2021 eine inzwischen gepatchte Schwachstelle in FreePBX, einer webbasierten Open-Source-Benutzeroberfläche, die zur Steuerung und Verwaltung von Asterisk verwendet wird, bekannt gegeben. Die Schwachstelle wird als CVE-2021-45461 eingestuft und hat einen Schweregrad von 9,8 von 10.
Die Angriffe beginnen mit dem Abrufen eines anfänglichen Dropper-Shell-Skripts von einem entfernten Server, das wiederum dazu dient, die PHP-Web-Shell an verschiedenen Stellen im Dateisystem zu installieren und zwei Root-Benutzerkonten anzulegen, um den Fernzugriff aufrechtzuerhalten.
Außerdem wird eine geplante Aufgabe erstellt, die jede Minute abläuft und eine Remote-Kopie des Shell-Skripts von der vom Angreifer kontrollierten Domain zur Ausführung abruft.
Die Malware verwischt nicht nur ihre Spuren, sondern ist auch in der Lage, beliebige Befehle auszuführen, die es den Hackern ermöglichen, die Kontrolle über das System zu übernehmen, Informationen zu stehlen und gleichzeitig eine Hintertür zu den kompromittierten Hosts zu öffnen.
„Die Strategie, Web-Shells in anfällige Server einzuschleusen, ist keine neue Taktik für böswillige Akteure“, so die Forscher. „Es ist ein gängiger Ansatz von Malware-Autoren, um Exploits zu starten oder Befehle aus der Ferne auszuführen.“