[ad_1]
Vários agentes de ameaças diferentes atacaram o VoIP (abre em nova aba) servidores de telefonia pertencentes à Elastix com mais de 500.000 malwares diferentes (abre em nova aba) amostras entre dezembro de 2021 e março de 2022, afirmaram os pesquisadores.
Elastix é um tool de servidor de comunicações unificadas, que reúne PBX IP, e mail, mensagens instantâneas, fax e ferramentas de colaboração.
Os pesquisadores estão especulando que os invasores exploraram o CVE-2021-45461, uma vulnerabilidade de alta gravidade (9,8) que permite a execução remota de código. Seu objetivo generation configurar um internet shell PHP que lhes permitisse executar código arbitrário nos terminais comprometidos.
Misturando-se ao ambiente
Especialistas da Unidade 42 da Palo Alto Networks que identificaram a campanha pela primeira vez disseram que dois grupos de ataque separados, usando métodos diferentes para explorar as falhas, tentaram implantar um script de shell em miniatura, que instala um backdoor PHP e dá aos invasores acesso root.
“Este dropper também tenta se misturar ao ambiente existente falsificando o carimbo de information/hora do arquivo backdoor PHP instalado para um arquivo conhecido já no sistema”, observaram os pesquisadores.
Os endereços IP dos grupos estão na Holanda, foi explicado, mas os dados DNS apontam para websites adultos russos. A infraestrutura de entrega de carga útil está apenas parcialmente ativa, no momento.
A campanha ainda está em andamento, concluíram os pesquisadores.
Dependendo da meta da campanha, os servidores corporativos às vezes são um destino de maior valor do que computadores, laptops ou outros terminais da empresa. Servidores geralmente são dispositivos mais poderosos e podem ser usados, por exemplo, como parte de um botnet potente que entrega milhares de solicitações por segundo.
Os servidores também podem ser usados para implantar tool de mineração de criptografia, ganhando criptomoedas valiosas para seus invasores. E, finalmente, se os servidores forem compartilhados (por exemplo, em um ambiente de nuvem), uma possível violação de dados pode comprometer várias empresas ao mesmo pace e todos os seus clientes combinados.
Através da: BleepingComputador (abre em nova aba)
[ad_2]
Fonte da Notícia: www.techradar.com
