EwDoor Botnet
EwDoor Botnetという名前の新しいボットネットの脅威が、保護されていないAT&Tエンタープライズネットワークエッジデバイスに感染しています。この脅威は、CVE-2017-6079として追跡された4年前の重大な脆弱性を悪用します。このエクスプロイトにより、攻撃者は標的のデバイスに自由にルートアクセスできるようになりますリモートで。
最近のキャンペーンで攻撃された特定のモデルは、EdgeMarc Enterprise Session BorderControllerです。このようなデバイスは、電話、ビデオ会議、その他のリアルタイム通信チャネルなどのさまざまなタスクを保護および処理するために、SME(中小企業)によって一般的に使用されます。これらは組織とISPの間の架け橋として機能するため、これらのセッションボーダーコントローラーは、DDoS(Distributed Denial-of-Service)攻撃を開始し、機密情報を収集したい脅威アクターの主要なターゲットです。
何千もの侵害されたデバイス
Qihoo 360のネットワークセキュリティ研究所の研究者は、最初にEwDoorボットネットの脅威を検出しました。また、攻撃者のコマンドアンドコントロール(C2、C&C)サーバーの1つを特定することもできました。わずか3時間で、研究者は約5,700台の感染したデバイスを特定することができました。その後、ハッカーは別のC2通信に切り替えました。 360 Netlabは、デバイスのSSI証明書を確認することにより、約100,000のIPアドレスが同じSSI証明書を使用していることを発見しました。
脅迫能力
脅威の機能を分析すると、ほとんどの場合、DDoS攻撃を開始し、被害者のネットワークに接続するバックドアを確立することを目的としていることがわかります。現在のEwDoorボットネットバージョンには、6つの主要な機能が備わっています。自身を更新し、ポートをスキャンし、ファイルシステムを操作し、DDoS攻撃を実行し、リバースシェルを開始し、攻撃者が侵害されたサーバー上で任意のコマンドを実行できるようにします。
AT&Tは、この問題を認識しており、その影響を軽減するための措置を講じていると述べています。これまでのところ、同社は顧客のデータが危険にさらされているという証拠を発見していません。