EwDoor Botnet

En ny botnet-trussel ved navn EwDoor Botnet har inficeret ubeskyttede AT&T enterprise-netværksenheder. Truslen udnytter en fire år gammel kritisk sårbarhed sporet som CVE-2017-6079. Udnyttelsen giver angribere mulighed for at få uhindret root-adgang til de målrettede enhederpå afstand.

Den specifikke model, der blev angrebet i den seneste kampagne, er EdgeMarc Enterprise Session Border Controller. Sådanne enheder bruges almindeligvis af SMV'er (små og mellemstore virksomheder) til at sikre og håndtere forskellige opgaver, såsom telefonopkald, videokonferencer eller andre realtidskommunikationskanaler. Fordi de fungerer som en bro mellem organisationerne og deres internetudbydere, er disse sessionsgrænsekontrollører primære mål for trusselsaktører, der ønsker at iværksætte DDoS-angreb (Distributed Denial-of-Service) og indsamle følsomme oplysninger.

Tusindvis af kompromitterede enheder

Forskerne ved Qihoo 360's Network Security Research Lab opdagede først EwDoor Botnet-truslen. De var også i stand til at identificere en af trusselsaktørernes Command-and-Control (C2, C&C) servere. På kun tre timer var forskerne i stand til at identificere cirka 5.700 inficerede enheder. Bagefter skiftede hackerne til anden C2-kommunikation. Ved at kontrollere enhedernes SSI-certifikater fandt 360 Netlab ud af, at omkring 100.000 IP-adresser brugte det samme SSI-certifikat.

Truende evner

En analyse af truslens funktionalitet afslører, at den for det meste er rettet mod at lancere DDoS-angreb og etablere en bagdør, der forbinder til ofrets netværk. Nuværende EwDoor Botnet-versioner er udstyret med seks hovedfunktioner. Det kan opdatere sig selv, scanne for porte, manipulere filsystemet, udføre DDoS-angreb, starte reverse shells og tillade angriberne at udføre vilkårlige kommandoer på de overtrådte servere.

AT&T har erklæret, at de var opmærksomme på problemet og havde taget skridt til at afbøde dens virkning. Indtil videre har virksomheden ikke fundet beviser for, at dets kunders data er blevet kompromitteret.