EwDoor Botnet

Eine neue Botnet-Bedrohung namens EwDoor Botnet infiziert ungeschützte AT&T-Netzwerk-Edge-Geräte von Unternehmen. Die Bedrohung nutzt eine vier Jahre alte kritische Schwachstelle aus, die als CVE-2017-6079 verfolgt wird. Der Exploit ermöglicht es Angreifern, ungehinderten Root-Zugriff auf die Zielgeräte aus der Ferne zu erhalten.

Das spezifische Modell, das in der jüngsten Kampagne angegriffen wurde, ist der EdgeMarc Enterprise Session Border Controller. Solche Geräte werden häufig von KMU (kleinen und mittleren Unternehmen) verwendet, um verschiedene Aufgaben wie Telefongespräche, Videokonferenzen oder andere Echtzeit-Kommunikationskanäle abzusichern und abzuwickeln. Da sie als Brücke zwischen den Organisationen und ihren ISPs fungieren, sind diese Session Border Controller Hauptziele für Bedrohungsakteure, die DDoS-Angriffe (Distributed Denial-of-Service) starten und sensible Informationen sammeln möchten.

Tausende von kompromittierten Geräten

Die Forscher des Network Security Research Lab von Qihoo 360 entdeckten zuerst die EwDoor-Botnet-Bedrohung. Sie waren auch in der Lage, einen der Command-and-Control-Server (C2, C&C) der Bedrohungsakteure zu identifizieren. In nur drei Stunden konnten die Forscher rund 5.700 infizierte Geräte identifizieren. Danach wechselten die Hacker zu einer anderen C2-Kommunikation. Bei der Überprüfung der SSI-Zertifikate der Geräte stellte 360 Netlab fest, dass rund 100.000 IP-Adressen dasselbe SSI-Zertifikat verwenden.

Bedrohungspotenziale

Eine Analyse der Funktionalität der Bedrohung zeigt, dass sie hauptsächlich darauf ausgerichtet ist, DDoS-Angriffe zu starten und eine Hintertür zum Netzwerk des Opfers aufzubauen. Aktuelle EwDoor Botnet-Versionen sind mit sechs Hauptfunktionen ausgestattet. Es kann sich selbst aktualisieren, nach Ports scannen, das Dateisystem manipulieren, DDoS-Angriffe durchführen, Reverse-Shells starten und den Angreifern erlauben, beliebige Befehle auf den angegriffenen Servern auszuführen.

AT&T hat erklärt, sich des Problems bewusst zu sein und Schritte unternommen zu haben, um die Auswirkungen abzuschwächen. Bisher hat das Unternehmen keine Hinweise darauf gefunden, dass die Daten seiner Kunden kompromittiert wurden.