Ένα botnet που ανακαλύφθηκε πρόσφατα επιτίθεται σε μη επιδιορθωμένες συσκευές εταιρικού δικτύου της AT&T χρησιμοποιώντας εκμεταλλεύσεις για ένα κρίσιμο πρόβλημα ασφαλείας που υπήρχε τα τελευταία 4 χρόνια στο Blind Command Injection.
Δείτε επίσης: Το Emotet botnet επέστρεψε με τη βοήθεια του Trickbot
Το botnet, με την ονομασία EwDoor που ανακαλύφθηκε από ερευνητές στο Εργαστήριο Έρευνας για την Ασφάλεια Δικτύων του Qihoo 360 (360 Netlab), στοχεύει πελάτες της AT&T που χρησιμοποιούν συσκευές EdgeMarc Enterprise Session Border Controller (ESBC).
Οι συσκευές EdgeMarc υποστηρίζουν περιβάλλοντα VoIP και δεδομένων υψηλής χωρητικότητας, γεφυρώνοντας το χάσμα μεταξύ των εταιρικών δικτύων και των παρόχων υπηρεσιών τους, σε αυτήν την περίπτωση, του φορέα AT&T.
Ωστόσο, αυτό απαιτεί επίσης οι συσκευές να εκτίθενται δημόσια στο Διαδίκτυο, αυξάνοντας την έκθεσή τους σε απομακρυσμένες επιθέσεις.
Το Netlab εντόπισε το botnet στις 27 Οκτωβρίου, όταν ξεκίνησαν οι πρώτες επιθέσεις που στόχευαν τις συσκευές Edgewater Networks που ήταν εκτεθειμένες στο Διαδίκτυο χωρίς επιδιόρθωση για την κρίσιμη ευπάθεια CVE-2017-6079.
Δείτε ακόμα: Το botnet BotenaGo στοχεύει εκατομμύρια συσκευές IoT με 33 εκμεταλλεύσεις
Οι ερευνητές μπόρεσαν να ρίξουν μια γρήγορη ματιά στο μέγεθος του botnet καταχωρώντας έναν από τους εφεδρικούς τομείς εντολών και ελέγχου (C2) και παρακολουθώντας τα αιτήματα που έγιναν από μολυσμένες συσκευές.
Κατά τη διάρκεια των τριών ωρών που είχε πριν οι χειριστές του botnet μεταβούν σε ένα διαφορετικό μοντέλο επικοινωνίας δικτύου C2, το 360 Netlab μπόρεσε να εντοπίσει περίπου 5.700 μολυσμένες συσκευές.
«Επιβεβαιώσαμε ότι οι συσκευές που δέχτηκαν επίθεση ήταν EdgeMarc Enterprise Session Border Controller, που ανήκαν στην εταιρεία τηλεπικοινωνιών AT&T και ότι και τα 5,7 χιλιάδες ενεργά θύματα που είδαμε κατά τη διάρκεια του σύντομου χρονικού διαστήματος βρίσκονταν όλα στις ΗΠΑ», ανέφεραν οι ερευνητές σε μια έκθεση.
Μετά την ανάλυση των εκδόσεων που καταγράφηκαν από τότε που ανακάλυψε το EwDoor, το 360 Netlab λέει ότι το botnet πιθανότατα χρησιμοποιείται για την πραγματοποίηση κατανεμημένων επιθέσεων άρνησης υπηρεσίας (DDoS) και ως backdoor για πρόσβαση στα δίκτυα των στόχων.
Δείτε επίσης: Η αγορά Dark Web Cannazon έκλεισε λόγω μαζικής επίθεσης DDoS
Αυτήν τη στιγμή διαθέτει έξι βασικά χαρακτηριστικά: αυτόματη ενημέρωση, σάρωση θυρών, διαχείριση αρχείων, επίθεση DDoS, αντίστροφο κέλυφος και εκτέλεση αυθαίρετων εντολών σε παραβιασμένους διακομιστές.
Το EwDoor χρησιμοποιεί κρυπτογράφηση TLS για να μπλοκάρει τις προσπάθειες υποκλοπής κυκλοφορίας δικτύου και κρυπτογραφεί πόρους για να μπλοκάρει την ανάλυση κακόβουλου λογισμικού.
