ありふれた電話システムの脆弱性が、包括的なサーバーの完全な支配へと変貌した。サイバーセキュリティ専門家は、EncystPHPという悪質なウェブシェルを発見した。このシェルはFreePBXに深く根を下ろし、攻撃者に侵害されたシステムに対する永続的な管理者支配権を与えている。
この攻撃は前年の12月初旬に始まった。攻撃者はFreePBXプラットフォームのエンドポイント マネージャー モジュールに含まれる脆弱性CVE-2025-64328を悪用し、特にバージョン17.0.2.36から17.0.3を対象とした。この重大な脆弱性により、管理者コンソール内での認証後に任意のコマンドを挿入することが可能になった。その結果、攻撃者はサーバーに特別なローダーをデプロイし、EncystPHPペイロードの展開を綿密に設計して実行した。
これらの攻撃の起源はブラジルに遡った。攻撃者のターゲットはインドの大手テクノロジー企業が管理するインフラであり、その企業はクラウドおよび電話通信サービスを専門としていた。悪質なペイロードはIPアドレス45.234.176.202からダウンロードされたが、このエンドポイントはドメインcrm.razatelefonia.proと密接に関連していた。所定のパスにアクセスするとサーバーは自動的に被害者を二次ローダーにリダイレクトした。
法的分析により、本キャンペーンと悪名高いINJ3CTOR3シンジケートとの確実な関連性が明らかになった。2020年以来、このグループは電話通信プラットフォーム全体の脆弱性を体系的に悪用し、2022年にはElastixシステムへ焦点を移した。彼らの現在の活動はこれらの歴史的な戦術を反映しており、FreePBX内のこの新たに発見された脆弱性を悪用している。
このコンテンツは参考になりましたか?接続を維持し、購読して更新を見逃さないようにしてください。
EncystPHPは冷徹な精密さと方法的な優雅さで動作する。最初にローダーは必須のFreePBXシステムファイルのアクセス権限を変更し、閲覧と修正の両方に対して不浸透性にする。その後、悪質なコードは/etc/freepbx.confリポジトリからデータベース設定を抽出し、スケジューラータスクをパージし、ampuserおよびsvc_freepbxを含む主要なユーザーアカウントを削除する。その後、プログラムはアーキテクチャをスキャンしてライバルのウェブシェルを探し、署名文字列と関数を介してそれらを特定し、発見されたファイルを容赦なく削除する。この操作により、攻撃者はデジタルな「競争相手」を排除し、新たに征服した領域をサニタイズする。
足がかりを固めるため、EncystPHPはnewfpbxという名前のルート権限を持つ新しいユーザーアカウントを作成し、複数のアカウント間で同一のパスワードを割り当て、自身の権限を積極的に昇格させる。その後、独自のSSH鍵を埋め込み、ポート22が永遠に開いたままであることを確認する。これにより、攻撃者に消えない侵入ポイントが与えられ、その後のパスワード変更はすべて無意味になる。
このウェブシェルはFreePBXディレクトリ内の正当なajax.phpファイルを装って身を隠す。その基礎となるコードはBase64エンコーディングで隠蔽され、実行時にのみ自身をデコードする。その認証メカニズムは極めて実用的である:入力されたパスワードはMD5ハッシュ化され、あらかじめ決定された値と比較される。成功したアクセス後、「Ask Master」という不吉なタイトルのインターフェースが展開される。このポータルを通じて、攻撃者はファイルシステムを参照し、アクティブなプロセスを監視し、ライブAsteriskチャネルを精査し、SIPサブスクライバーをインベントリ化し、FreePBXとElastixの両方の設定を解析することができる。このシェルは任意のコマンドを実行可能であり、侵害されたPBXを通じた外部への電話呼び出しを開始する大胆さを持つ。
独立したローダーのk.phpは、ウェブシェルを/var/www/html/内の複数のディレクトリに増殖させ、巧妙に無害な電話コンポーネントを装ったフォルダを含める。これらのファイルの時間メタデータは綿密に偽造され、正当なタイムスタンプを反映し、管理者による表面的な検査では詐欺を見抜くことができない。さらに、悪質なコードはリダイレクト命令で満たされた.htaccessファイルを生成し、補助スクリプトを実行し、その後、デジタル足跡を隠蔽するためにそれらを消滅させる。
根付きのメカニズムは非常に多層的である。ローダーはcronデーモンにタスクを記録し、毎分、悪質なファイルの新しいバージョンをダウンロードするよう無情に設計されている。スクリプトは定期的にEncystPHPの削除の幻を呼び起こし、rmコマンドをエコーするが、削除を実際に実行することはない。license.phpを装う別ファイルは両方のローダーを復活させ、エラー出力を抑制し、システムログを徹底的にサニタイズする。その結果、部分的な根絶だけではサーバーが浄化されたことを一切保証しない。
専門家は、CVE-2025-64328の成功した悪用がシステムの絶対的な支配を意味することを強調している。EncystPHPはFreePBXとElastixのネイティブコンポーネント内に身を隠すため、感染を検出することは非常に困難な作業である。その危険性は単なるサーバーへの不正アクセスをはるかに超え、電話リソースの広範な横領を含んでいる。詳細はこちらを参照。
同時に、危険度が高い脅威指定を示す侵害されたウェブサイト レポートが公開された。このレポートは、ウェブシェルまたはその他の侵入の痕跡が遠隔から特定されたドメインとデバイスを記録している。レジストリには、CVE-2025-57819の悪用に関連するSangoma FreePBX内に存在するウェブシェル、CVE-2025-53770を介したMicrosoft SharePointの侵害、CVE-2025-25257を介したFortinet FortiWebの侵害、CVE-2025-31324を介したSAP NetWeaverの侵害、ならびにIvanti、Citrix、Palo Alto Networks、その他多くのプラットフォームのアプライアンスに影響を与える多くのインシデントが含まれている。著者は慎重に、エンドポイント検証中に404エラーを受け取ることは決してウェブシェルの存在を排除しないと警告している。厳密な検証はサーバー側で内部的に実施する必要がある。さらに、単一のノードは頻繁に異なるシンジケートによって共同で悪用されるため、初期侵害インジケータの発見は常に追加の侵入痕跡の注意深い調査をトリガーするべきである。
専有のアンチウイルスツールは現在、PHP/EncystPHP.A!trおよびBASH/EncystPHP.A!trという命名法でEncystPHPを成功裏に検出し、侵入防止システムはCVE-2025-64328の悪用を警戒している。FreePBXアーキテクチャの管理者は、直ちに必要なパッチを展開し、サーバーをスキャンして無関係なユーザーアカウントと異常なcronタスクを監査し、わずかな疑い以上の場合は、インシデントを完全なインフラストラクチャ支配として扱うことを強く促されている。
