EwDoor Botnet, campanha direcionada a clientes da AT&T

EwDoor visa ativamente os clientes dos EUA

• Descoberta por pesquisadores do Netlab, a nova versão do EwDoor é uma atualização para a versão 0.16.0 do botnet que apareceu pela primeira vez em 15 de novembro.
• Os pesquisadores estão rastreando o botnet desde o final de outubro, durante o qual o malware passou por pelo menos três versões.
• No entanto, a nova versão inclui exploits para a vulnerabilidade de n dias afetando dispositivos EdgeMarc Enterprise Session Border Controller da AT&T.
• Entre seus outros recursos, o botnet é capaz de lançar ataques DDoS, furtar dados confidenciais, executar comandos arbitrários, atualizar-se e lançar shells reversos em servidores comprometidos.
• De acordo com a telemetria do Netlab, o botnet afetou até agora todos os 5.700 usuários da AT&T localizados nos EUA

A técnica de evasão também melhorou

• O botnet usa criptografia TLS para bloquear tentativas de interceptação de tráfego de rede e criptografa recursos para evitar a detecção.
• O C2 foi movido do local para a nuvem e enviado pelo rastreador BT para evitar a extração direta pelo sistema IoC.
• Os autores do malware também adicionaram uma versão de kernel de alto kernel da sandbox do Linux para contornar a detecção.

Mais detalhes sobre a vulnerabilidade

• A vulnerabilidade em questão é uma falha cega de injeção de comando (CVE-2017-6079), que está sendo amplamente explorada por hackers para invadir servidores EdgeMarc não corrigidos.
• A varredura em toda a Internet sugere que há mais de 100.000 dispositivos com certificados SSL montados em servidores EdgeMarc VoIP, mas não está claro quantos desses dispositivos são vulneráveis ​​à falha.

A lição para os usuários

A AT&T iniciou uma investigação sobre o assunto e, ao mesmo tempo, tomou as medidas necessárias para mitigar as ameaças do botnet. Além disso, confirmou que não há evidências de que dados de clientes foram acessados ​​nos ataques.

Fonte: https://cyware.com/