デジウム電話ソフトウェアを悪用してVoIPサーバーを標的とするハッカー from thehackernews.com
security summary
Digiumのソフトウェアを使用するVoIP電話は、追加のペイロードをダウンロードして実行することでデータを盗み出すように設計された攻撃キャンペーンの一環として、サーバーにWebシェルをドロップすることを目的としています。
リモートサーバーは、ファイルシステムのさまざまな場所にPHP Webシェルをインストールし、リモートアクセスを維持するために2つのrootユーザーアカウントを作成するように調整されます。
さらに、毎分実行されるスケジュールされたタスクを作成し、攻撃者が制御するドメインからシェルスクリプトのリモートコピーをフェッチして実行します。
「脆弱なサーバーにWebシェルを埋め込む戦略は、悪意のある攻撃者にとって新しい戦術ではありません」と研究者は述べ、「マルウェア作成者がエクスプロイトを起動したり、コマンドをリモートで実行したりするための一般的なアプローチ」だと付け加えました。
コメント