Posté le juillet 16, 2022 à 5:01
DES HACKERS CIBLENT LES SERVEURS DE TÉLÉPHONIE VOIP ELASTIC AVEC PLUS DE 5 000 ÉCHANTILLONS DE LOGICIELS MALVEILLANTS
Des chercheurs en cybersécurité ont découvert une campagne de logiciels malveillants à grande échelle qui cible les serveurs de téléphonie VoIP Elastix avec plus de 500 000 échantillons de logiciels malveillants en trois mois.
Le logiciel serveur Elastix est utilisé pour les communications unifiées, notamment la messagerie instantanée, le courrier électronique et le fax. Le logiciel est principalement utilisé dans le module des téléphones Digium pour FreePBX.
Selon le rapport, les auteurs de la menace ont exploité une faille d’exécution de code à distance (RCE) dénommée CVE-2021-45461, à laquelle est attribuée une vulnérabilité critique de 9,8 sur 10. Les chercheurs ont noté que les acteurs de la menace exploitent cette faille depuis décembre dernier. La dernière campagne semble être liée à une faille de sécurité.
Les hackers implantent un shell Web PHP
Les chercheurs en sécurité de l’unité 42 de Palo Alto Network ont déclaré que l’objectif des acteurs de la menace était de planter un shell web PHP qui exécute des commandes arbitraires sur le serveur de communication infiltré.
Les chercheurs ont confirmé que le groupe de menaces a implanté plus de 500 000 échantillons uniques de logiciels malveillants de la famille entre décembre 2021 et mars 2022. L’attaquant utilise toujours l’actif, et plusieurs échantillons connexes du logiciel malveillant ont été découverts par la société de cybersécurité CheckPoint.
Les chercheurs ajoutent que les deux groupes attaquants utilisent des méthodes de première exploitation différentes pour déposer un script shell de petite taille. Ensuite, ils installent la porte dérobée PHP sur le système ciblé de l’appareil et configurent des comptes d’utilisateurs pourris pour assurer la persistance via des tâches programmées. Cela signifie que l’appareil d’un utilisateur peut être infecté sans que le logiciel de sécurité ne découvre l’infiltration. Il utilise des techniques d’évasion de pointe pour garder ses opérations secrètes et actives.
En outre, il a également essayé de s’intégrer correctement dans l’environnement existant en usurpant l’horodatage du fichier backdoor PHP installé, le faisant ressembler exactement à un fichier déjà existant dans le système.
Les adresses IP des hackers se trouvent aux Pays-Bas
Les adresses IP des acteurs de la menace se trouveraient aux Pays-Bas, mais l’enregistrement DNS montre que ces adresses sont liées à plusieurs sites Russes pour adultes. Les chercheurs ont révélé qu’une partie de l’infrastructure de livraison de charges utiles des attaquants reste opérationnelle et visible en ligne.
Les acteurs de la menace ont créé des tâches planifiées à partir du premier script, qui est déployé pour fonctionner toutes les minutes afin d’usurper un shell web PHP. Le shell web, selon le chercheur, est géré avec différents paramètres dans les requêtes web. Il s’agit notamment des requêtes cmd (qui exécutent des commandes arbitraires à distance), admin, call et md5. Le paramètre admin est utilisé pour choisir entre l’administrateur Freeplay et la session Elastic. D’autre part, le paramètre md5 sert de hachage d’authentification pour l’interaction avec le shell web et la connexion à distance. Le paramètre call est utilisé pour lancer un appel depuis l’interface de ligne de commande (CLI) d’Asterisk.
En outre, le shell web est doté de fonctionnalités supplémentaires, notamment la reconnaissance de la plateforme PBX open-source Asterisk, la liste des répertoires et huit commandes intégrées pour la lecture des fichiers.
Unit42 a également inclus des détails techniques dans son rapport. Il a fourni des informations sur la façon dont les hackers utilisent et déposent les charges utiles. Il a également inclus certaines mesures pour contourner le risque et éviter la détection dans l’environnement existant. En outre, une liste d’indicateurs de compromission dont les chemins de fichiers locaux utilisés par le logiciel malveillant. Elle comprend les URL publiques qui hébergent les charges utiles, les hachages des scripts shell et les chaînes de caractères uniques.
Le groupe de menaces Luna Moth exploite les utilisateurs avec un ransomware
Par ailleurs, des chercheurs ont découvert un nouveau groupe d’extorsion de données nommé « Luna Moth », qui viole les entreprises pour voler des informations confidentielles. Le groupe menace ses victimes avec le fichier volé, affirmant qu’il rendra le fichier public si une rançon n’est pas payée.
Selon l’équipe de réponse aux incidents de la société de cybersécurité Sygnia, le groupe Luna Moth exploite les utilisateurs depuis mars de cette année, mais son opération pourrait avoir commencé bien avant. Le groupe utilise des tactiques de phishing pour fournir des outils d’accès à distance (RAT) afin de voler les données des entreprises.
Les chercheurs ont noté que le groupe cherche à se forger une réputation en utilisant le nom de Silent Ransom Group (SRG).
Plus tôt ce mois-ci, Sygnia a déclaré que le groupe Luna Moth opère à la manière d’un escroc, mais qu’il cherche davantage à avoir accès à des informations sensibles. Pour atteindre leurs objectifs, ils s’appuient sur des attaques de phishing. Le groupe a mené une campagne à grande échelle en appâtant les victimes avec de faux e-mails d’abonnement aux services de Duolingo, MasterClass ou Zoho.
Les utilisateurs ciblés reçoivent généralement un message censé provenir de l’un des services, les informant que leur abonnement va bientôt expirer et qu’il sera automatiquement renouvelé. Les adresses électroniques sont maquillées de manière à ressembler à celles des hackers afin de les faire passer pour authentiques. Mais le but ultime est de tromper leurs cibles et de voler des informations sensibles sur leurs appareils.
