Cyberkriminelle nutzen sechsschichtige Persistenz, um Zugriff auf kompromittierte FreePBX-Systeme zu erhalten

Eine Hackergruppe namens INJ3CTOR3 führt eine aktive Kampagne gegen FreePBX-Systeme durch und setzt dabei eine neu entdeckte PHP-Webshell namens JOMANGY ein, die sechs separate Persistenzschichten nutzt, um sich auf komp Eine Hackergruppe namens INJ3CTOR3 führt eine aktive Kampagne gegen FreePBX-Systeme durch und setzt dabei eine neu entdeckte PHP-Webshell namens JOMANGY ein, die sechs separate Persistenzschichten nutzt, um sich auf kompromittierten Servern einzubetten.

Die Kampagne richtet sich gegen internetexponierte VoIP-Telefonanlagen und leitet Anrufe über diese Lasten der Opfer weiter, ein Verfahren, das als Toll Fraud bekannt ist. Mit einer Zielliste von über 3.000 IP-Adressen ist die Operation auf massenhafte, automatisierte Ausnutzung ausgelegt.

FreePBX ist eine Open-Source-Oberfläche, die Telefonanlagen auf Basis der Asterisk-Software genutzt wird. Diese Aufbauten verwalten echte Carrier-Konten mit SIP-Trunks, über die tatsächliche Telefonate initiiert werden können.

Für einen Angreifer bedeutet der Zugriff, Anrufe über leiten und den Opfer-Carrier zu veranlassen, die Rechnung zu übernehmen, ohne dass dabei die mit Ransomware oder Datendiebstahl verbundenen Aufwände entstehen. Analysten (CRIL) identifizierten die Kampagne und veröffentlichten einen detaillierten Bericht, der mit