EwDoor visa ativamente os clientes dos EUA
- Descoberta por pesquisadores do Netlab, a nova versão do EwDoor é uma atualização para a versão 0.16.0 do botnet que apareceu pela primeira vez em 15 de novembro.
- Os pesquisadores estão rastreando o botnet desde o final de outubro, durante o qual o malware passou por pelo menos três versões.
- No entanto, a nova versão inclui exploits para a vulnerabilidade de n dias afetando dispositivos EdgeMarc Enterprise Session Border Controller da AT&T.
- Entre seus outros recursos, o botnet é capaz de lançar ataques DDoS, furtar dados confidenciais, executar comandos arbitrários, atualizar-se e lançar shells reversos em servidores comprometidos.
- De acordo com a telemetria do Netlab, o botnet afetou até agora todos os 5.700 usuários da AT&T localizados nos EUA
A técnica de evasão também melhorou
- O botnet usa criptografia TLS para bloquear tentativas de interceptação de tráfego de rede e criptografa recursos para evitar a detecção.
- O C2 foi movido do local para a nuvem e enviado pelo rastreador BT para evitar a extração direta pelo sistema IoC.
- Os autores do malware também adicionaram uma versão de kernel de alto kernel da sandbox do Linux para contornar a detecção.
Mais detalhes sobre a vulnerabilidade
- A vulnerabilidade em questão é uma falha cega de injeção de comando (CVE-2017-6079), que está sendo amplamente explorada por hackers para invadir servidores EdgeMarc não corrigidos.
- A varredura em toda a Internet sugere que há mais de 100.000 dispositivos com certificados SSL montados em servidores EdgeMarc VoIP, mas não está claro quantos desses dispositivos são vulneráveis à falha.
A lição para os usuários
A AT&T iniciou uma investigação sobre o assunto e, ao mesmo tempo, tomou as medidas necessárias para mitigar as ameaças do botnet. Além disso, confirmou que não há evidências de que dados de clientes foram acessados nos ataques.
Fonte: https://cyware.com/