EwDoor Botnet

En ny botnett-trussel kalt EwDoor Botnet har infisert ubeskyttede AT&T-nettverkskantenheter. Trusselen utnytter en fire år gammel kritisk sårbarhet sporet som CVE-2017-6079. Utnyttelsen lar angripere få uhindret rottilgang til de målrettede enheteneeksternt.

Den spesifikke modellen som ble angrepet i den nylige kampanjen er EdgeMarc Enterprise Session Border Controller. Slike enheter brukes ofte av SMB (små og mellomstore bedrifter) for å sikre og håndtere ulike oppgaver, som telefonsamtaler, videokonferanser eller andre sanntidskommunikasjonskanaler. Fordi de fungerer som en bro mellom organisasjonene og deres ISPer, er disse sesjonsgrensekontrollørene hovedmål for trusselaktører som ønsker å starte DDoS-angrep (Distributed Denial-of-Service) og samle inn sensitiv informasjon.

Tusenvis av kompromitterte enheter

Forskerne ved Qihoo 360s Network Security Research Lab oppdaget først EwDoor Botnet-trusselen. De var også i stand til å identifisere en av trusselaktørenes Command-and-Control (C2, C&C) servere. På bare tre timer klarte forskerne å identifisere omtrent 5700 infiserte enheter. Etterpå byttet hackerne til annen C2-kommunikasjon. Ved å sjekke SSI-sertifikatene til enhetene fant 360 Netlab at rundt 100 000 IP-adresser brukte det samme SSI-sertifikatet.

Truende evner

Analyserer trusselens funksjonalitet avslører at den hovedsakelig er rettet mot å starte DDoS-angrep og etablere en bakdør som kobler til offerets nettverk. Gjeldende EwDoor Botnet-versjoner er utstyrt med seks hovedfunksjoner. Den kan oppdatere seg selv, skanne etter porter, manipulere filsystemet, utføre DDoS-angrep, starte reverse shell og la angriperne utføre vilkårlige kommandoer på serverne som brytes.

AT&T har uttalt at de var klar over problemet og hadde tatt skritt for å redusere virkningen. Så langt har selskapet ikke funnet bevis for at dataene til kundene har blitt kompromittert.