Yakın zamanda keşfedilen bir botnet, dört yıllık kritik önem derecesi Blind Command Injection güvenlik kusuru için açıkları kullanarak düzeltme eki yüklenmemiş AT&T kurumsal ağ kenar cihazlarına saldırıyor.
Botnet, dublajlı EwDoor Qihoo 360’ın Ağ Güvenliği Araştırma Laboratuvarı’ndaki (360 Netlab) araştırmacılar tarafından EdgeMarc Enterprise Session Border Controller (ESBC) uç cihazlarını kullanarak AT&T müşterilerini hedef almaktadır.
EdgeMarc cihazları, yüksek kapasiteli VoIP ve veri ortamlarını destekleyerek kurumsal ağlar ile hizmet sağlayıcıları arasındaki boşluğu, bu durumda AT&T taşıyıcısını destekler.
Bununla birlikte, bu aynı zamanda cihazların internete herkese açık olarak maruz kalmasını ve uzaktan saldırılara maruz kalmalarını artırmasını gerektirir.
360 Netlab botnet’i 27 Ekim’de, internete maruz edgewater networks’ün cihazlarını hedef alan ilk saldırıların kritik CVE-2017-6079 güvenlik açığına karşı düzeltme eki yüklenmeden başladığını fark etti.
Üç saat içinde neredeyse 6.000 güvenliği ihlal edilmiş cihaz tespit edildi
Araştırmacılar, yedek komut ve kontrol (C2) etki alanlarından birini kaydederek ve virüslü cihazlardan yapılan istekleri izleyerek botnet’in boyutuna hızlı bir şekilde bakabildiler.
Botnet operatörleri farklı bir C2 ağ iletişim modeline geçmeden önce geçirdikleri üç saat boyunca, 360 Netlab yaklaşık 5.700 enfekte cihazı tespit edebilirdi.
Araştırmacılar, “Saldırıya uğrayan cihazların telekom şirketi AT&T’ye ait EdgeMarc Enterprise Session Border Controller olduğunu ve kısa süre içinde gördüğümüz 5,7k aktif kurbanların hepsinin coğrafi olarak ABD’de bulunduğunu doğruladık.” dedi bugün yayınlanan bir raporda.
“Bu cihazlar tarafından kullanılan SSL sertifikalarını geri kontrol larak, aynı SSL sertifikasını kullanan yaklaşık 100k IP olduğunu gördük. Bu IP’lere karşılık gelen kaç cihazın enfekte olabileceğinden emin değiliz, ancak aynı cihaz sınıfına ait oldukları için olası etkinin gerçek olduğunu tahmin edebiliriz.”
En son blogumuz EwDoor Botnet hakkında, tüm enfekte cihazları ABD’de bulunuyor, kısa bir 3 saat zaman diliminde yaklaşık 6k tehlikeye atılmış ips gördük https://t.co/1YHZZYqR3c
— 360 Netlab (@360Netlab) 30 Kasım 2021, Kasım 2021, Bu
DDoS saldırı özelliklerine sahip arka kapı
EwDoor’u keşfettiklerinden beri yakalanan sürümleri analiz ettikten sonra, 360 Netlab botnet’in dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak ve hedeflerin ağlarına erişmek için bir arka kapı olarak kullanıldığını söylüyor.
Şu anda altı ana özelliğe sahiptir: kendi kendini güncelleme, bağlantı noktası tarama, dosya yönetimi, DDoS saldırısı, ters kabuk ve güvenliği ihlal edilen sunucularda rasgele komutların yürütülmesi.
360 Netlab, “Şimdiye kadar, bizim görüşümüze göre EwDoor 3 güncelleme sürümünden geçti ve ana işlevleri 2 ana DDoS saldırısı ve Arka Kapı kategorisine özetlenebilir” diye ekledi.
“Saldırıya uğrayan cihazların telefon iletişimi ile ilgili olmasına dayanarak, asıl amacının DDoS saldırıları ve arama kayıtları gibi hassas bilgilerin toplanması olduğunu varsayıyoruz.”

EwDoor, ağ trafiği engelleme girişimlerini engellemek için TLS şifrelemesini kullanır ve kötü amaçlı yazılım analizini engellemek için kaynakları şifreler.
EwDoor botnet’i ve C2 etki alanları ve kötü amaçlı yazılım örnek hashes dahil olmak üzere uzlaşma göstergeleri (IPC’ler) hakkında ek teknik ayrıntılar 360 Netlab’ın raporu.