一、Elastix VoIP系统被黑客攻击以提供 Web shell(7.21)
一个大规模的活动一直在针对Elastix VoIP电话服务器来安装 PHP Web Shell。在短短三个月内已经发现了超过50万个恶意软件样本。
详细情况
滥用Elastix VoIP系统
攻击者被认为是在滥用Elastix VoIP系统中用于FreePBX的Digium电话模块的RCE漏洞(CVE-2021-45461)。该漏洞自2021年12月以来一直被滥用。
—该活动的目标是植入 PHP Web shell 以在受感染的通信服务器上运行任意命令。
—攻击者在 2021 年 12 月至 2022 年 3 月期间部署了 500,000 个独特的恶意软件样本。
最近的活动仍然很活跃,并且与 2020 年的另一项行动有相似之处。该行动系统地利用了不同制造商的SIP服务器。
PHP web shell
研究人员发现有两个攻击小组使用不同的初始开发脚本来放置一个小规模的shell脚本。该脚本在目标设备上安装 PHP 后门并创建 root 用户帐户。
· shell脚本试图通过将安装的PHP后门文件的时间戳伪装成目标系统上已知的文件,从而混入现有环境。
· 攻击者的 IP 地址位于荷兰,而 DNS 记录显示指向各种俄罗斯成人网站的链接。目前,有效载荷交付基础设施的部分已经上线。
· 该计划任务每分钟执行一次以获取 PHP Web shell。Web shell 采用 base64 编码,并管理传入 Web 请求中的不同参数(MD5、admin、cmd 和 call)。
此外,被放置的 web shell 带有一组额外的内置命令(大约 8 个),用于 Asterisk 开源 PBX 平台的目录遍历、文件读取和侦察。
研究人员提供了有关在最近的活动中使用的技术细节以避免感染。此外,建议组织使用提供的 IOC 来揭示恶意软件的本地文件路径、shell 脚本的哈希值、托管有效负载的公共 URL 和唯一字符串。
参考链接
https://cyware.com/news/elastix-voip-systems-hacked-to-serve-web-shells-ca7f45e1
二、黑客瞄准工业控制系统(7.20)
已发现有威胁参与者瞄准了工业控制系统(ICS)来创建僵尸网络。黑客利用在多个社交媒体帐户进行的PLC和HMI密码破解软件推广活动来达到目的。
详细情况
该活动旨在解锁Automation Direct、西门子、富士电机、三菱、温特、ABB等公司的PLC和HMI终端。
Dragos的研究人员研究了来自AutomationDirect的一个有关DirectLogic PLC的具体事件,在该事件中,感染的软件(不是破解)滥用设备中已知漏洞来窃取密码。恶意程序利用漏洞 (CVE-2022-2003) 仅可用来串口通信。这就要从工程工作站 (EWS) 直接串连到 PLC。
该工具会在后台放置一种恶意软件,该恶意软件根据不同任务创建了名为Sality的点对点僵尸网络。
Sality是一种古老的恶意软件,需要分布式计算架构才能更快地完成任务,例如加密挖矿和密码破解。但它仍在不断发展,其功能包括结束正在运行的进程、下载其他有效负载、建立与远程站点的连接以及从主机窃取数据。
该恶意软件将自身注入正在运行的进程中,并以Windows自动运行功能为目标,将其自身复制到外部驱动器、可移动存储设备和共享网络上以进一步传播。
所确定的样本也发现其侧重于窃取加密货币。它劫持了剪贴板中的内容以重新定向加密货币交易。
该活动仍在进行中,PLC的管理员应知晓此类威胁。安全起见,建议操作技术工程师不要使用任何密码破解工具。而应听从专家建议,以防确实需要破解某些密码,联系设备供应商获取更多指导说明。
参考链接
https://cyware.com/news/hacker-targeting-industrial-control-systems-2ef6f279
