TokyoBlackHatNews

gbhackers.com 4分で読了

ハッカーがFreePBXシステムで6層の永続化を使用

ハッカーは高い回復力を持つ6層の永続化メカニズムを使用してFreePBXシステムを積極的に悪用しています。このキャンペーンは、2019年以来VoIPインフラを金銭目的で標的にしていることで知られる脅威アクター「INJ3CTOR3」に高い信頼度で帰属しています。

この作戦は、既知のZenharRウェブシェルとともに、JOMANGYという名前の以前に文書化されていないPHPウェブシェルファミリーをインストールするマルチステージBashドロッパーをデプロイしています。

両方のツールは、侵害されたシステムを悪用して不正な通話を被害者のSIPトランクを通じてルーティングし、最終的に被害者に不正な活動の料金を請求することでVoIP通行料詐欺を可能にするように設計されています。

攻撃者はAsteriskを通じて直接通話を開始するなどのコマンドを実行でき、ランサムウェアをデプロイしたりデータを盗むことなくアクセスを現金化できます。この方法は、運用の複雑さを軽減しながら安定した財務上の見返りを確保します。

Image

このキャンペーンの最も注目すべき側面の1つは、その高度な永続化アーキテクチャです。攻撃者は、互いに強化する6つの独立した永続化メカニズムを実装します。

Cybleリサーチ&インテリジェンスラボ (CRIL) は、INJ3CTOR3に高い信頼度で関連付けられたアクティブなFreePBX悪用キャンペーンを特定した

これには、cronベースのコマンドアンドコントロールポーリング、ログインまたは再起動時にトリガーされるシェルプロフィール修正、Linuxファイル属性を使用して保護された不変のcrontabバックアップ、悪意のあるコンポーネントを再起動するプロセスウォッチドッグ、複数の保護されたウェブシェルコピー、および感染チェーン全体を再インストールできるPHPベースのエグゼキューターが含まれます。

この層状の設計は、防御者がいくつかのコンポーネントを削除しても、残りのメカニズムが数分以内に感染を完全に復元できることを保証します。

FreePBXシステムでの永続化

その結果、部分的な改善努力は主に無効であり、脅威を排除するために組織は完全なシステム再構築を検討することを強いられます。

Palo Alto Unit 42は2022年にCVE-2021-45461を標的とするZenharR展開の世代をたどりました。Fortenetはその後、C2 45[.]234[.]176[.]202から動作する2026年1月のencystPHPイテレーションをカバーしました。

Image

感染チェーンはまた、侵害されたシステム全体に18のバックドアアカウントを導入します。これらのアカウントは、ルート相当のアクセスを持つ9つを含む権限レベル全体に戦略的に分散されています。攻撃者は「asterisk」、「freepbxuser」、「spamfilter」などの名前を使用して正当なサービスアカウントに混在させ、検出をより困難にします。

研究者は、自動スキャンを通じて特定されたと考えられるターゲットのリストをホストするコマンドアンドコントロールサーバーを特定しました。

これらのシステムのおよそ39%はAlibaba Cloudインフラストラクチャでホストされており、アジア太平洋地域への強い焦点を示しています。しかし、このキャンペーンのリーチは世界中に広がり、複数のセクターの組織に影響を与えています。

正確な初期アクセスベクトルは確認されていませんが、証拠は2つの可能性のある脆弱性を指しています。CVE-2025-64328はFreePBX filestoreモジュールのコマンドインジェクション欠陥であり、CVE-2025-57819はEndpointモジュールの認証前SQLインジェクションです。後者は大規模な自動化された悪用に適しているため、特に可能性が高いと考えられています。

マルウェアは、競合するウェブシェルを削除し、ライバルのコマンドアンドコントロールサーバーをブロックし、感染したシステムを効果的に独占するためのルーチンも含まれています。場合によっては、同じアクターにリンクされた以前のキャンペーンのアーティファクトを削除し、インフラストラクチャの意図的な移行を示唆します。

オペレーターはk.phpをアクティブに回転させます。収集されたアーティファクト(100259af、~45KB)とVT URLの最後フェッチバリアント(49abb105、2026年4月29日に取得)は異なります。

Image

疑われる脆弱性のためのパッチが利用可能であるにもかかわらず、対応は依然として困難です。Shadowserverからのデータは、開示後数ヶ月経っても数百のFreePBXシステムが侵害されたままであることを示しており、深く永続的な脅威を排除することの難しさを強調しています。

このキャンペーンは、継続的に数十億ドルのグローバルな損失を生成する、より広い通信詐欺の領域におけるVoIP関連の攻撃の増加するリスクを強調しています。

FreePBXシステムがインターネットに広く公開されており、しばしば適切に保護されていないため、INJ3CTOR3のような経済的に動機付けられた攻撃者の主要なターゲットのままです。

翻訳元: https://gbhackers.com/persistence-on-freepbx-systems/

ソース: gbhackers.com
#CVE脆弱性 #FreePBX #INJ3CTOR3 #VoIP詐欺 #Webシェル #インフラ攻撃 #マルウェア #永続化メカニズム #脅威インテリジェンス #通信詐欺

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚