Специалисты Cyble Research & Intelligence Labs (CRIL) обнаружили активную кампанию по взлому серверов FreePBX - популярной платформы для управления IP-телефонией. Исследователи с высокой степенью уверенности связывают её с оператором, известным под псевдонимом INJ3CTOR3. Этот злоумышленник целенаправленно атакует VoIP-инфраструктуру ради финансовой выгоды как минимум с 2019 года. Особенность новой кампании - использование ранее не описанной PHP-веб-оболочки (скрипта удалённого управления), которую специалисты назвали JOMANGY.
Описание
Полученные данные указывают на то, что масштаб атаки весьма серьёзен. Кампания задействует многоступенчатый Bash-загрузчик, который внедряет JOMANGY, а также уже известный инструмент ZenharR. Каждый экземпляр веб-оболочки содержит код для совершения звонков через SIP-транки жертвы за её же счёт. Судя по обнаруженному на сервере управления файлу, в нём насчитывается 3080 IP-адресов потенциальных целей. Это позволяет предполагать, что речь идёт о массовой автоматизированной атаке, а не о точечных взломах.
Архитектура сохранения доступа (персистентности) в этой кампании - главное, что отличает её от предыдущих действий INJ3CTOR3. Шесть независимых каналов взаимно защищают друг друга. Среди них: опрос центра управления (cron-задачи, выполняющиеся каждые одну-три минуты); внедрение команд в профили оболочки, срабатывающие при входе root и перезагрузке; восемь защищённых от удаления копий crontab (системного планировщика задач); процесс-сторож, перезапускающий вредоносный маяк; копии веб-оболочки с неизменяемым атрибутом; а также PHP-исполнитель с собственной логикой восстановления через планировщик. Достаточно выживания хотя бы одного канала, чтобы полная инфекция восстановилась в течение нескольких минут. Частичное удаление, таким образом, даёт лишь временный эффект.
Этап заражения также создаёт 18 учётных записей чёрного входа. Девять из них имеют привилегии равные root (UID-0), ещё восемь - системные, и одна внедрена прямо в базу данных FreePBX через MySQL. Имена подобраны так, чтобы слиться с легитимными системными учётками (например, "asterisk", "freepbxuser"). Исследование CRIL показывает, что все веб-оболочки JOMANGY содержат уникальную строку и используют двойное запутывание кода: сначала base64, затем ROT13. Этот маркер присутствует в каждом развёрнутом экземпляре, что однозначно связывает их с единым источником.
Автоматизированное вытеснение конкурентов - ещё одна характерная черта. Первичный загрузчик удаляет более 50 сигнатур чужих веб-оболочек и блокирует 11 IP-адресов других злоумышленников. При этом он одновременно уничтожает следы собственной предыдущей кампании INJ3CTOR3 от января 2026 года. Судя по этим действиям, оператор переводит свой ботнет от бразильской инфраструктуры к нидерландской. Следы инструментов Palo Alto Unit 42, Check Point Research и SANS ISC, относящиеся к атакам с 2020 по 2022 год, подтверждают, что перед нами один и тот же противник.
Вектор первоначального проникновения пока точно не подтверждён: исследователи не смогли изъять эксплойт. Однако анализ указывает на две уязвимости: CVE-2025-64328 (внедрение команд после аутентификации в модуле filestore) и CVE-2025-57819 (SQL-инъекция до аутентификации в модуле Endpoint). Следы кода, маскирующего следы, и файлы, ассоциированные с доказательствами концепции WatchTowr Labs, указывают на вторую уязвимость как на более вероятный вариант начального доступа.
Важно понимать, почему это угроза для бизнеса. FreePBX и Asterisk - основа множества IP-АТС по всему миру. Если злоумышленник получает доступ к рабочей SIP-транку жертвы, он может совершать платные звонки через премиум-номера (так называемое VoIP-мошенничество с оплатой за трафик). Счёт за эти звонки выставляется владельцу инфраструктуры. По данным Ассоциации по борьбе с мошенничеством в связи, глобальный ущерб от такого типа преступлений достигает десятков миллиардов долларов. Более 700 compromised серверов оставались под контролем злоумышленников даже спустя пять месяцев после публикации информации об уязвимости, что наглядно показывает сложность полной очистки.
Рекомендация специалистам Cyble однозначна: при подтверждённом заражении следует не пытаться удалить вредоносные файлы по одному, а полностью переустановить систему с чистого образа. Никакое частичное удаление не гарантирует успех из-за взаимного восстановления каналов. Кроме того, необходимо незамедлительно установить последние обновления безопасности для FreePBX и отключить открытые панели управления от интернета, если это возможно. Сервер управления атакующих на момент анализа оставался активным, а инструменты JOMANGY почти не обнаруживались антивирусами, что делает эту угрозу особенно опасной в ближайшее время.
Индикаторы компрометации
IPv4
- 146.70.129.114
- 160.119.76.250
- 169.150.218.33
- 45.234.176.202
- 45.95.147.178
URLs
- http://45.95.147.178/
- http://45.95.147.178/x
- http://45.95.147.178/z/post/noroot.php
- http://45.95.147.178/z/post/root.php
MD5
- a8b65af6c142736ccf80420e44df240f
- b92c65af386ed772972b43cab0d55a4a
- bfcedbc1831779921a0ee2cfaee004f2
- cf710203400b8c466e6dfcafcf36a411
- ec4ca4db5ec0b782e51224fa7082ac06
