Peretas Menargetkan Server VoIP Dengan Mengeksploitasi Perangkat Lunak Telepon Digium

  • Bagikan
Digium Phone Software

Beritaini.top Peretas Menargetkan Server VoIP Dengan Mengeksploitasi Perangkat Lunak Telepon Digium

Perangkat Lunak Telepon Digium

Telepon VoIP yang menggunakan perangkat lunak Digium telah ditargetkan untuk menjatuhkan web shell di server mereka sebagai bagian dari kampanye serangan yang dirancang untuk mengekstrak data dengan mengunduh dan menjalankan muatan tambahan.

“Malware memasang backdoor PHP multilayer yang dikaburkan ke sistem file server web, mengunduh muatan baru untuk dieksekusi, dan menjadwalkan tugas berulang untuk menginfeksi ulang sistem host,” Palo Alto Networks Unit 42 dikatakan dalam laporan Jumat.

Aktivitas yang tidak biasa ini dikatakan telah dimulai pada pertengahan Desember 2021 dan menargetkan Asterisk, implementasi perangkat lunak yang banyak digunakan dari private branch exchange (PBX) yang berjalan pada Elastix Unified Communications Server open-source.

Unit 42 mengatakan penyusupan tersebut memiliki kesamaan dengan kampanye INJ3CTOR3 yang diungkapkan oleh perusahaan keamanan siber Israel Check Point pada November 2020, menyinggung kemungkinan bahwa mereka bisa menjadi “kebangkitan” dari serangan sebelumnya.

Perangkat Lunak Telepon Digium

Bertepatan dengan lonjakan tiba-tiba adalah pengungkapan publik pada bulan Desember 2021 tentang kelemahan eksekusi kode jarak jauh yang sekarang ditambal GratisPBX, GUI open source berbasis web yang digunakan untuk mengontrol dan mengelola Asterisk. Dilacak sebagai CVE-2021-45461masalah ini diberi peringkat 9,8 dari 10 untuk tingkat keparahan.

Serangan dimulai dengan mengambil skrip shell penetes awal dari server jauh, yang, pada gilirannya, diatur untuk menginstal shell web PHP di lokasi yang berbeda dalam sistem file serta membuat dua akun pengguna root untuk mempertahankan akses jarak jauh.

Keamanan cyber

Ini selanjutnya membuat tugas terjadwal yang berjalan setiap menit dan mengambil salinan skrip shell jarak jauh dari domain yang dikendalikan penyerang untuk dieksekusi.

Selain mengambil langkah-langkah untuk menutupi jejaknya, malware juga dilengkapi untuk menjalankan perintah sewenang-wenang, yang pada akhirnya memungkinkan para peretas untuk mengendalikan sistem, mencuri informasi, sambil juga mempertahankan pintu belakang ke host yang disusupi.

“Strategi menanamkan cangkang web di server yang rentan bukanlah taktik baru untuk pelaku jahat,” kata para peneliti, menambahkan itu adalah “pendekatan umum yang dilakukan pembuat malware untuk meluncurkan eksploitasi atau menjalankan perintah dari jarak jauh.”

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.