Licenças para vários dispositivos (descontos por volume)
Threat Database Botnets EwDoor Botnet

EwDoor Botnet

Por Mezo em Botnets
Traduzir Para:
Português

Uma nova ameaça de botnet chamada EwDoor Botnet tem infectado dispositivos de borda de rede corporativa da AT&T desprotegidos. A ameaça explora uma vulnerabilidade crítica de quatro anos, rastreada como CVE-2017-6079. A exploração permite que os invasores obtenham acesso root irrestrito aos dispositivos visados remotamente.

O modelo específico atacado na campanha recente é o EdgeMarc Enterprise Session Border Controller. Esses dispositivos são comumente usados por PMEs (Pequenas e Médias Empresas) para proteger e lidar com várias tarefas, como chamadas telefônicas, videoconferência ou outros canais de comunicação em tempo real. Como atuam como uma ponte entre as organizações e seus ISPs, esses controladores de borda de sessão são os principais alvos dos agentes de ameaças que desejam lançar ataques DDoS (Negação de Serviço Distribuída) e coletar informações confidenciais.

Milhares de Dispositivos Comprometidos

Os pesquisadores do Network Security Research Lab do Qihoo 360 detectaram pela primeira vez a ameaça EwDoor Botnet. Eles também foram capazes de identificar um dos servidores de Comando e Controle (C2, C&C) dos atores da ameaça. Em apenas três horas, os pesquisadores foram capazes de identificar aproximadamente 5.700 dispositivos infectados. Posteriormente, os hackers mudaram para uma comunicação C2 diferente. Ao verificar os certificados SSI dos dispositivos, a 360 Netlab descobriu que cerca de 100.000 endereços IP estavam usando o mesmo certificado SSI.

Capacidades Ameaçadoras

A análise da funcionalidade da ameaça revela que ela é voltada principalmente para o lançamento de ataques de DDoS e o estabelecimento de um backdoor conectando-se à rede da vítima. As versões atuais do EwDoor Botnet estão equipadas com seis recursos principais. Ele pode se atualizar, procurar portas, manipular o sistema de arquivos, realizar ataques DDoS, iniciar shells reversos e permitir que os invasores executem comandos arbitrários nos servidores violados.

A AT&T declarou estar ciente do problema e tomar medidas para mitigar seu impacto. Até o momento, a empresa não encontrou evidências de que os dados de seus clientes tenham sido comprometidos.

Tendendo

Mais visto

Carregando...