Telepon VoIP yang menggunakan perangkat lunak Digium telah ditargetkan untuk menjatuhkan web shell di server mereka sebagai bagian dari kampanye serangan yang dirancang untuk mengekstrak data dengan mengunduh dan menjalankan muatan tambahan.
“Malware memasang backdoor PHP multilayer yang dikaburkan ke sistem file server web, mengunduh muatan baru untuk dieksekusi, dan menjadwalkan tugas berulang untuk menginfeksi ulang sistem host,” kata Palo Alto Networks Unit 42 dalam laporan Jumat.
Aktivitas yang tidak biasa ini dikatakan telah dimulai pada pertengahan Desember 2021 dan menargetkan Asterisk, implementasi perangkat lunak yang banyak digunakan dari private branch exchange (PBX) yang berjalan pada Elastix Unified Communications Server open-source.
Unit 42 mengatakan penyusupan tersebut memiliki kesamaan dengan kampanye INJ3CTOR3 yang diungkapkan oleh perusahaan keamanan siber Israel Check Point pada November 2020, menyinggung kemungkinan bahwa mereka bisa menjadi “kebangkitan” dari serangan sebelumnya.
Bertepatan dengan lonjakan tiba-tiba adalah pengungkapan publik pada bulan Desember 2021 dari kelemahan eksekusi kode jarak jauh yang sekarang ditambal di FreePBX, GUI open source berbasis web yang digunakan untuk mengontrol dan mengelola Asterisk. Dilacak sebagai CVE-2021-45461, masalah ini diberi peringkat 9,8 dari 10 untuk tingkat keparahan.
Serangan dimulai dengan mengambil skrip shell penetes awal dari server jauh, yang, pada gilirannya, diatur untuk menginstal shell web PHP di lokasi yang berbeda dalam sistem file serta membuat dua akun pengguna root untuk mempertahankan akses jarak jauh.
Ini selanjutnya membuat tugas terjadwal yang berjalan setiap menit dan mengambil salinan skrip shell jarak jauh dari domain yang dikendalikan penyerang untuk dieksekusi.
Selain mengambil langkah-langkah untuk menutupi jejaknya, malware juga dilengkapi untuk menjalankan perintah sewenang-wenang, yang pada akhirnya memungkinkan para peretas untuk mengendalikan sistem, mencuri informasi, sambil juga mempertahankan pintu belakang ke host yang disusupi.
“Strategi menanamkan cangkang web di server yang rentan bukanlah taktik baru untuk pelaku jahat,” kata para peneliti, menambahkan itu adalah “pendekatan umum yang dilakukan pembuat malware untuk meluncurkan eksploitasi atau menjalankan perintah dari jarak jauh.”