最近，Unit 42的研究人員發(fā)現(xiàn)了一項(xiàng)針對2021年12月以來Digium手機(jī)中使用的Elastix系統(tǒng)的活動。威脅參與者利用Rest Phone Apps (restapps)模塊中的一個漏洞，編號為CVE-2021-45461 (CVSS評分9.8)，在VoIP服務(wù)器上植入一個web shell。攻擊者通過在目標(biāo)的Digium手機(jī)軟件中放置額外的有效載荷，利用web shell來竊取數(shù)據(jù)。

根據(jù)Palo Alto Networks Unit 42 發(fā)布的公告，“截至目前，從2021年12月底到2022年3月底，我們已經(jīng)見證了該家族超過50萬個獨(dú)特的惡意軟件樣本。該惡意軟件會在web服務(wù)器的文件系統(tǒng)上安裝多層混淆的PHP后門，下載新的有效負(fù)載以執(zhí)行并安排重復(fù)的任務(wù)來重新感染主機(jī)系統(tǒng)。 此外，惡意軟件會向每個下載的惡意軟件植入一個隨機(jī)的垃圾字符串，以試圖規(guī)避基于IoCs的簽名防御?！?/p>

研究人員還觀察到，在 2021 年 12 月中旬至 2022 年 3 月期間，大量惡意流量可能來自超過50萬個獨(dú)特的樣本。這些流量的目標(biāo)是用于VoIP電話設(shè)備的Digium 開源 Asterisk 通信軟件。該惡意活動與兩年前Check Point Research 在 2020 年詳述的INJ3CTOR3 報(bào)告有許多相似之處 ，專家推測這可能是該活動的死灰復(fù)燃。該攻擊鏈從遠(yuǎn)程服務(wù)器檢索shell腳本釋放器的代碼開始，然后在文件系統(tǒng)的多個位置下載并執(zhí)行混淆的 PHP 后門程序，PHP 后門還會創(chuàng)建多個root用戶帳戶并設(shè)置計(jì)劃任務(wù)來維護(hù)持久性并重新感染主機(jī)系統(tǒng)，該惡意軟件通過cmd請求參數(shù)支持任意命令以及允許操作員執(zhí)行惡意活動的內(nèi)置默認(rèn)命令。

該報(bào)告還顯示，在易受攻擊的服務(wù)器中植入 web shell 的策略對于惡意行為者來說并不是一種新策略。捕獲高級入侵的唯一方法是深度防御策略。只有通過在一個窗格中編排多個安全設(shè)備和應(yīng)用程序，防御者才能檢測到這些攻擊。

參考來源：https://securityaffairs.co/wordpress/133293/hacking/digium-phones-attacks.html