一个大规模的活动一贯在针对Elastix VoIP电话做事器来安装 PHP Web Shell。在短短三个月内已经创造了超过50万个恶意软件样本。
详细情形
滥用Elastix VoIP系统
攻击者被认为是在滥用Elastix VoIP系统中用于FreePBX的Digium电话模块的RCE漏洞(CVE-2021-45461)。该漏洞自2021年12月以来一贯被滥用。
---该活动的目标是植入 PHP Web shell 以在受传染的通信做事器上运行任意命令。
---攻击者在 2021 年 12 月至 2022 年 3 月期间支配了 500,000 个独特的恶意软件样本。
最近的活动仍旧很生动,并且与 2020 年的另一项行动有相似之处。该行动系统地利用了不同制造商的SIP做事器。
PHP web shell
研究职员创造有两个攻击小组利用不同的初始开拓脚本来放置一个小规模的shell脚本。该脚本在目标设备上安装 PHP 后门并创建 root 用户帐户。
· shell脚本试图通过将安装的PHP后门文件的韶光戳伪装成目标系统上已知的文件,从而混入现有环境。
· 攻击者的 IP 地址位于荷兰,而 DNS 记录显示指向各种俄罗斯成人网站的链接。目前,有效载荷交付根本举动步伐的部分已经上线。
· 该操持任务每分钟实行一次以获取 PHP Web shell。Web shell 采取 base64 编码,并管理传入 Web 要求中的不同参数(MD5、admin、cmd 和 call)。
此外,被放置的 web shell 带有一组额外的内置命令(大约 8 个),用于 Asterisk 开源 PBX 平台的目录遍历、文件读取和侦察。
研究职员供应了有关在最近的活动中利用的技能细节以避免传染。此外,建议组织利用供应的 IOC 来揭示恶意软件确当地文件路径、shell 脚本的哈希值、托管有效负载的公共 URL 和唯一字符串。
参考链接
https://cyware.com/news/elastix-voip-systems-hacked-to-serve-web-shells-ca7f45e1
二、黑客瞄准工业掌握系统(7.20)
已创造有威胁参与者瞄准了工业掌握系统(ICS)来创建僵尸网络。黑客利用在多个社交媒体帐户进行的PLC和HMI密码破解软件推广活动来达到目的。
详细情形
该活动旨在解锁Automation Direct、西门子、富士电机、三菱、温特、ABB等公司的PLC和HMI终端。
Dragos的研究职员研究了来自AutomationDirect的一个有关DirectLogic PLC的详细事宜,在该事宜中,传染的软件(不是破解)滥用设备中已知漏洞来盗取密码。恶意程序利用漏洞 (CVE-2022-2003) 仅可用来串口通信。这就要从工程事情站 (EWS) 直接串连到 PLC。
该工具会在后台放置一种恶意软件,该恶意软件根据不同任务创建了名为Sality的点对点僵尸网络。
Sality是一种古老的恶意软件,须要分布式打算架构才能更快地完成任务,例如加密挖矿和密码破解。但它仍在不断发展,其功能包括结束正在运行的进程、下载其他有效负载、建立与远程站点的连接以及从主机盗取数据。
该恶意软件将自身注入正在运行的进程中,并以Windows自动运行功能为目标,将其自身复制到外部驱动器、可移动存储设备和共享网络上以进一步传播。
所确定的样本也创造其侧重于盗取加密货币。它挟制了剪贴板中的内容以重新定向加密货币交易。
该活动仍在进行中,PLC的管理员应知晓此类威胁。安全起见,建议操作技能工程师不要利用任何密码破解工具。而应屈服专家建议,以防确实须要破解某些密码,联系设备供应商获取更多辅导解释。
参考链接
https://cyware.com/news/hacker-targeting-industrial-control-systems-2ef6f279
