EwDoor Botnet

Por Mezo en Botnets

Traducir a:

Una nueva amenaza de botnet llamada EwDoor Botnet ha estado infectando dispositivos de borde de red empresarial de AT&T que no están protegidos. La amenaza explota una vulnerabilidad crítica de cuatro años rastreada como CVE-2017-6079. El exploit permite a los atacantes obtener acceso root sin restricciones a los dispositivos objetivo.de forma remota.

El modelo específico atacado en la campaña reciente es EdgeMarc Enterprise Session Border Controller. Las PYME (pequeñas y medianas empresas) suelen utilizar estos dispositivos para proteger y gestionar diversas tareas, como llamadas telefónicas, videoconferencias u otros canales de comunicación en tiempo real. Debido a que actúan como un puente entre las organizaciones y sus ISP, estos controladores fronterizos de sesión son objetivos principales para los actores de amenazas que desean lanzar ataques DDoS (denegación de servicio distribuida) y recopilar información confidencial.

Miles de dispositivos comprometidos

Los investigadores del Network Security Research Lab de Qihoo 360 detectaron por primera vez la amenaza EwDoor Botnet. También pudieron identificar uno de los servidores de Comando y Control (C2, C&C) de los actores de amenazas. En solo tres horas, los investigadores pudieron identificar aproximadamente 5.700 dispositivos infectados. Posteriormente, los piratas informáticos cambiaron a una comunicación C2 diferente. Al verificar los certificados SSI de los dispositivos, 360 Netlab descubrió que alrededor de 100 000 direcciones IP usaban el mismo certificado SSI.

Capacidades amenazantes

El análisis de la funcionalidad de la amenaza revela que está principalmente orientada a lanzar ataques DDoS y establecer una puerta trasera que se conecte a la red de la víctima. Las versiones actuales de EwDoor Botnet están equipadas con seis características principales. Puede actualizarse, buscar puertos, manipular el sistema de archivos, realizar ataques DDoS, iniciar shells inversos y permitir que los atacantes ejecuten comandos arbitrarios en los servidores vulnerados.

AT&T ha declarado que estaba al tanto del problema y había tomado medidas para mitigar su impacto. Hasta el momento, la compañía no ha encontrado evidencia de que los datos de sus clientes se hayan visto comprometidos.

Buscar

Cambia región

EwDoor Botnet

Miles de dispositivos comprometidos

Capacidades amenazantes

Enviar Comentario

Tendencias

Safe Search Eng

MarioLocker Ransomware

Mi papel tapiz

Mas Visto

¿Es Lookmovie.io seguro?

Cómo reparar el error 'El controlador de la...

Discord muestra una pantalla negra al compartir la...