EwDoor Botnet

Ett nytt botnätshot vid namn EwDoor Botnet har infekterat oskyddade AT&T-enheter för företagsnätverk. Hotet utnyttjar en fyra år gammal kritisk sårbarhet som spåras som CVE-2017-6079. Exploateringen tillåter angripare att få obegränsad root-åtkomst till de riktade enheternaavlägset.

Den specifika modellen som attackerades i den senaste kampanjen är EdgeMarc Enterprise Session Border Controller. Sådana enheter används vanligtvis av små och medelstora företag (små och medelstora företag) för att säkra och hantera olika uppgifter, såsom telefonsamtal, videokonferenser eller andra kommunikationskanaler i realtid. Eftersom de fungerar som en brygga mellan organisationerna och deras ISP:er är dessa sessionsgränskontrollanter främsta mål för hotaktörer som vill starta DDoS-attacker (Distributed Denial-of-Service) och samla in känslig information.

Tusentals komprometterade enheter

Forskarna vid Qihoo 360:s Network Security Research Lab upptäckte först EwDoor Botnet-hotet. De kunde också identifiera en av hotaktörernas Command-and-Control-servrar (C2, C&C). På bara tre timmar kunde forskarna identifiera cirka 5 700 infekterade enheter. Efteråt bytte hackarna till annan C2-kommunikation. Genom att kontrollera enheternas SSI-certifikat fann 360 Netlab att cirka 100 000 IP-adresser använde samma SSI-certifikat.

Hotande förmågor

Att analysera hotets funktionalitet avslöjar att det mestadels är inriktat på att starta DDoS-attacker och etablera en bakdörr som ansluter till offrets nätverk. Nuvarande EwDoor Botnet-versioner är utrustade med sex huvudfunktioner. Den kan uppdatera sig själv, skanna efter portar, manipulera filsystemet, utföra DDoS-attacker, starta omvända skal och tillåta angriparna att utföra godtyckliga kommandon på servrarna som har brutits.

AT&T har uppgett att de var medvetna om problemet och hade vidtagit åtgärder för att mildra dess påverkan. Hittills har företaget inte hittat några bevis för att data från sina kunder har äventyrats.