Лицензи за множество устройства (Отстъпки за количество)
Threat Database Botnets EwDoor ботнет

EwDoor ботнет

До Mezo през Botnetsг
Превод на:
български език

Нова ботнет заплаха, наречена EwDoor Botnet, заразява незащитени устройства на AT&T корпоративна мрежа. Заплахата използва четиригодишна критична уязвимост, проследявана като CVE-2017-6079. Експлойтът позволява на нападателите да получат неограничен root достъп до целевите устройстваот разстояние.

Конкретният модел, атакуван в последната кампания, е EdgeMarc Enterprise Session Border Controller. Такива устройства обикновено се използват от МСП (малки и средни предприятия) за защита и обработка на различни задачи, като телефонни разговори, видеоконферентна връзка или други комуникационни канали в реално време. Тъй като действат като мост между организациите и техните доставчици на интернет услуги, тези гранични контролери на сесията са основна цел за заплахите, които желаят да стартират DDoS (разпределен отказ на услуга) атаки и да събират чувствителна информация.

Хиляди компрометирани устройства

Изследователите от изследователската лаборатория за мрежова сигурност на Qihoo 360 за първи път откриха заплахата EwDoor Botnet. Те също така успяха да идентифицират един от сървърите за командване и контрол (C2, C&C) на участниците в заплахата. Само за три часа изследователите успяха да идентифицират приблизително 5700 заразени устройства. След това хакерите преминаха към различна C2 комуникация. Чрез проверка на SSI сертификатите на устройствата, 360 Netlab установи, че около 100 000 IP адреса използват един и същ SSI сертификат.

Застрашаващи способности

Анализът на функционалността на заплахата разкрива, че тя е насочена най-вече към стартиране на DDoS атаки и установяване на бекдор, свързващ се с мрежата на жертвата. Текущите версии на EwDoor Botnet са оборудвани с шест основни функции. Той може да се актуализира, да сканира за портове, да манипулира файловата система, да извършва DDoS атаки, да стартира обратни обвивки и да позволи на нападателите да изпълняват произволни команди на пробитите сървъри.

AT&T заяви, че е наясно с проблема и е предприела стъпки за смекчаване на въздействието му. Досега компанията не е открила доказателства, че данните на клиентите й са били компрометирани.

Тенденция

Най-гледан

Зареждане...