一、Elastix VoIP系統被駭客攻擊以提供 Web shell(7.21)
一個大規模的活動一直在針對Elastix VoIP電話伺服器來安裝 PHP Web Shell。在短短三個月內已經發現了超過50萬個惡意軟體樣本。
詳細情況
濫用Elastix VoIP系統
攻擊者被認為是在濫用Elastix VoIP系統中用於FreePBX的Digium電話模組的RCE漏洞(CVE-2021-45461)。該漏洞自2021年12月以來一直被濫用。
---該活動的目標是植入 PHP Web shell 以在受感染的通訊伺服器上執行任意命令。
---攻擊者在 2021 年 12 月至 2022 年 3 月期間部署了 500,000 個獨特的惡意軟體樣本。
最近的活動仍然很活躍,並且與 2020 年的另一項行動有相似之處。該行動系統地利用了不同製造商的SIP伺服器。
PHP web shell
研究人員發現有兩個攻擊小組使用不同的初始開發指令碼來放置一個小規模的shell指令碼。該指令碼在目標裝置上安裝 PHP 後門並建立 root 使用者帳戶。
· shell指令碼試圖透過將安裝的PHP後門檔案的時間戳偽裝成目標系統上已知的檔案,從而混入現有環境。
· 攻擊者的 IP 地址位於荷蘭,而 DNS 記錄顯示指向各種俄羅斯成人網站的連結。目前,有效載荷交付基礎設施的部分已經上線。
· 該計劃任務每分鐘執行一次以獲取 PHP Web shell。Web shell 採用 base64 編碼,並管理傳入 Web 請求中的不同引數(MD5、admin、cmd 和 call)。
此外,被放置的 web shell 帶有一組額外的內建命令(大約 8 個),用於 Asterisk 開源 PBX 平臺的目錄遍歷、檔案讀取和偵察。
研究人員提供了有關在最近的活動中使用的技術細節以避免感染。此外,建議組織使用提供的 IOC 來揭示惡意軟體的本地檔案路徑、shell 指令碼的雜湊值、託管有效負載的公共 URL 和唯一字串。
參考連結
https://cyware.com/news/elastix-voip-systems-hacked-to-serve-web-shells-ca7f45e1
二、駭客瞄準工業控制系統(7.20)
已發現有威脅參與者瞄準了工業控制系統(ICS)來建立殭屍網路。駭客利用在多個社交媒體帳戶進行的PLC和HMI密碼破解軟體推廣活動來達到目的。
詳細情況
該活動旨在解鎖Automation Direct、西門子、富士電機、三菱、溫特、ABB等公司的PLC和HMI終端。
Dragos的研究人員研究了來自AutomationDirect的一個有關DirectLogic PLC的具體事件,在該事件中,感染的軟體(不是破解)濫用裝置中已知漏洞來竊取密碼。惡意程式利用漏洞 (CVE-2022-2003) 僅可用來串列埠通訊。這就要從工程工作站 (EWS) 直接串連到 PLC。
該工具會在後臺放置一種惡意軟體,該惡意軟體根據不同任務建立了名為Sality的點對點殭屍網路。
Sality是一種古老的惡意軟體,需要分散式計算架構才能更快地完成任務,例如加密挖礦和密碼破解。但它仍在不斷髮展,其功能包括結束正在執行的程式、下載其他有效負載、建立與遠端站點的連線以及從主機竊取資料。
該惡意軟體將自身注入正在執行的程式中,並以Windows自動執行功能為目標,將其自身複製到外部驅動器、可移動儲存裝置和共享網路上以進一步傳播。
所確定的樣本也發現其側重於竊取加密貨幣。它劫持了剪貼簿中的內容以重新定向加密貨幣交易。
該活動仍在進行中,PLC的管理員應知曉此類威脅。安全起見,建議操作技術工程師不要使用任何密碼破解工具。而應聽從專家建議,以防確實需要破解某些密碼,聯絡裝置供應商獲取更多指導說明。
參考連結
https://cyware.com/news/hacker-targeting-industrial-control-systems-2ef6f279