黑客利用Digium电话软件攻击VoIP服务器

作为攻击活动的一部分，使用Digium软件的VoIP手机已被锁定在其服务器上放置网络外壳，该攻击活动旨在通过下载和执行额外的有效载荷来过滤数据。

Palo Alto Networks第42单元在周五的一份报告中表示：“该恶意软件将多层模糊PHP后门安装到web服务器的文件系统，下载新的有效负载以执行，并安排重复任务以重新感染主机系统”。

据说，这项不寻常的活动始于2021 12月中，目标是Asterisk，这是一种在开源Elastix统一通信服务器上运行的专用交换机（PBX）的广泛使用的软件实现。

第42单元说，这些入侵与以色列网络安全公司Check Point在2020年11月披露的INJ3CTOR3行动有相似之处，暗示它们可能是先前攻击的“死灰复燃”。

与突然激增同时发生的是，2021 12月公开披露了FreePBX中一个现已修补的远程代码执行缺陷，FreePBX是一种基于web的开源GUI，用于控制和管理Asterisk。追踪CVE-2021-45461，该问题的严重性评分为9.8分（满分10分）。

攻击开始于从远程服务器检索初始dropper shell脚本，然后通过编排将PHP web shell安装在文件系统中的不同位置，并创建两个根用户帐户来维护远程访问。

它还创建了一个每分钟运行一次的计划任务，并从攻击者控制的域中获取shell脚本的远程副本以供执行。

除了采取措施掩盖其踪迹外，该恶意软件还具备运行任意命令的能力，最终允许黑客控制系统、窃取信息，同时还为受到攻击的主机提供后门。

“在易受攻击的服务器中植入网络外壳的策略并不是恶意行为者的新策略，”研究人员说，并补充说这是“恶意软件作者发动攻击或远程运行命令的常见方法”。