Logiciel De Téléphone Digium

Les téléphones VoIP utilisant le logiciel de Digium ont été ciblés pour déposer un shell Web sur leurs serveurs dans le cadre d’une campagne d’attaque conçue pour exfiltrer des données en téléchargeant et en exécutant des charges utiles supplémentaires.

« Le logiciel malveillant installe des portes dérobées PHP multicouches obscurcies sur le système de fichiers du serveur Web, télécharge de nouvelles charges utiles à exécuter et planifie des tâches récurrentes pour réinfecter le système hôte », Palo Alto Networks Unit 42 a dit dans un rapport de vendredi.

L’activité inhabituelle aurait commencé à la mi-décembre 2021 et cible Asterisk, une implémentation logicielle largement utilisée d’un autocommutateur privé (PBX) qui s’exécute sur le serveur open source Elastix Unified Communications.

L’unité 42 a déclaré que les intrusions partagent des similitudes avec la campagne INJ3CTOR3 que la société israélienne de cybersécurité Check Point a révélée en novembre 2020, faisant allusion à la possibilité qu’elles puissent être une « résurgence » des attaques précédentes.

Logiciel De Téléphone Digium

Coïncidant avec cette augmentation soudaine, la divulgation publique en décembre 2021 d’une faille d’exécution de code à distance désormais corrigée dans FreePBX, une interface graphique open source basée sur le Web qui est utilisée pour contrôler et gérer Asterisk. Suivi comme CVE-2021-45461le problème est noté 9,8 sur 10 pour sa gravité.

Publicité

Les attaques commencent par la récupération d’un script shell dropper initial à partir d’un serveur distant, qui, à son tour, est orchestré pour installer le shell Web PHP à différents endroits du système de fichiers et créer deux comptes d’utilisateur root pour maintenir l’accès à distance.

La Cyber-Sécurité

Il crée en outre une tâche planifiée qui s’exécute toutes les minutes et récupère une copie distante du script shell à partir du domaine contrôlé par l’attaquant pour exécution.

En plus de prendre des mesures pour couvrir ses traces, le malware est également équipé pour exécuter des commandes arbitraires, permettant finalement aux pirates de prendre le contrôle du système, de voler des informations, tout en maintenant une porte dérobée vers les hôtes compromis.

« La stratégie consistant à implanter des shells Web dans des serveurs vulnérables n’est pas une nouvelle tactique pour les acteurs malveillants », ont déclaré les chercheurs, ajoutant qu’il s’agissait d’une « approche courante adoptée par les auteurs de logiciels malveillants pour lancer des exploits ou exécuter des commandes à distance ».


Rate this post
Publicité
Article précédentL’unité de puces secrètes de Huawei recrute des ingénieurs avancés
Article suivantComment déplacer le menu Démarrer de Windows 11 vers la gauche, tout comme Windows 10
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici