تم استهداف هواتف VoIP التي تستخدم برنامج Digium لإسقاط غلاف ويب على خوادمهم كجزء من حملة هجوم مصممة لتسلل البيانات عن طريق تنزيل وتنفيذ حمولات إضافية.

قالت Palo Alto Networks Unit 42 في تقرير يوم الجمعة : "تقوم البرامج الضارة بتثبيت أبواب خلفية PHP مبهمة متعددة الطبقات لنظام ملفات خادم الويب، وتنزيل حمولات جديدة للتنفيذ ، وتجدول المهام المتكررة لإعادة إصابة النظام المضيف".

يقال إن النشاط غير المعتاد قد بدأ في منتصف ديسمبر 2021 ويستهدف Asterisk، وهو تطبيق برمجي مستخدم على نطاق واسع لتبادل فرع خاص (PBX) يعمل على Elastix Unified Communications Server مفتوح المصدر.

وقالت الوحدة 42 إن الاختراقات تشترك في أوجه التشابه مع حملة INJ3CTOR3 التي كشفت عنها شركة الأمن السيبراني الإسرائيلية Check Point في نوفمبر 2020، في إشارة إلى احتمال أنها قد تكون "عودة" للهجمات السابقة.

تبدأ الهجمات باسترداد نص برمجي أولي من خادم بعيد، والذي بدوره يتم تنسيقه لتثبيت PHP web shell في مواقع مختلفة في نظام الملفات بالإضافة إلى إنشاء حسابين أساسيين للمستخدم للحفاظ على الوصول عن بُعد.

كما تقوم بإنشاء مهمة مجدولة يتم تشغيلها كل دقيقة وتجلب نسخة بعيدة من البرنامج النصي shell من المجال الذي يتحكم فيه المهاجم من أجل التنفيذ.

إلى جانب اتخاذ تدابير لتغطية مساراتها، فإن البرامج الضارة مجهزة أيضًا لتشغيل أوامر عشوائية ، مما يسمح في النهاية للمتسللين بالسيطرة على النظام ، وسرقة المعلومات ، مع الحفاظ أيضًا على باب خلفي للمضيفين المخترقين.

قال الباحثون: "إن استراتيجية زرع قذائف الويب في الخوادم المعرضة للخطر ليست أسلوبًا جديدًا للجهات الخبيثة"، مضيفين أنها "نهج شائع يتبعه مؤلفو البرامج الضارة لإطلاق عمليات استغلال أو تشغيل الأوامر عن بُعد".