最近，Unit 42的研究人員發現了一項針對2021年12月以來Digium手機中使用的Elastix系統的活動。威脅參與者利用Rest Phone Apps (restapps)模塊中的一個漏洞，編號為CVE-2021-45461 (CVSS評分9.8)，在VoIP服務器上植入一個web shell。攻擊者通過在目標的Digium手機軟件中放置額外的有效載荷，利用web shell來竊取數據。

根據Palo Alto Networks Unit 42 發布的公告，“截至目前，從2021年12月底到2022年3月底，我們已經見證了該家族超過50萬個獨特的惡意軟件樣本。該惡意軟件會在web服務器的文件系統上安裝多層混淆的PHP后門，下載新的有效負載以執行并安排重復的任務來重新感染主機系統。 此外，惡意軟件會向每個下載的惡意軟件植入一個隨機的垃圾字符串，以試圖規避基于IoCs的簽名防御。”

研究人員還觀察到，在 2021 年 12 月中旬至 2022 年 3 月期間，大量惡意流量可能來自超過50萬個獨特的樣本。這些流量的目標是用于VoIP電話設備的Digium 開源 Asterisk 通信軟件。該惡意活動與兩年前Check Point Research 在 2020 年詳述的INJ3CTOR3 報告有許多相似之處 ，專家推測這可能是該活動的死灰復燃。該攻擊鏈從遠程服務器檢索shell腳本釋放器的代碼開始，然后在文件系統的多個位置下載并執行混淆的 PHP 后門程序，PHP 后門還會創建多個root用戶帳戶并設置計劃任務來維護持久性并重新感染主機系統，該惡意軟件通過cmd請求參數支持任意命令以及允許操作員執行惡意活動的內置默認命令。

該報告還顯示，在易受攻擊的服務器中植入 web shell 的策略對于惡意行為者來說并不是一種新策略。捕獲高級入侵的唯一方法是深度防御策略。只有通過在一個窗格中編排多個安全設備和應用程序，防御者才能檢測到這些攻擊。

參考來源：https://securityaffairs.co/wordpress/133293/hacking/digium-phones-attacks.html