По информации издания The Record, компания AT&T изучает активность ботнета EwDoor, который заразил более 5700 VoIP-серверов, расположенных внутри ее сети.

Все пострадавшие девайсы представляли собой пограничные энтерпрайз-контроллеры сессий EdgeMarc, то есть были VoIP-серверами, предназначенными для балансировки и перенаправления трафика интернет-телефонии от небольших корпоративных клиентов к вышестоящим операторам мобильной связи.

По данным экспертов китайской ИБ-компании Qihoo 360Netlab, для взлома непропатченных EdgeMarc злоумышленники эксплуатируют старую проблему CVE-2017-6079, после чего устанавливают модульную малварь EwDoor.

«[Мы] подтверждаем, что атакованные устройства были пограничными энтерпрайз-контроллерами сессий EdgeMarc, принадлежащими телекоммуникационной компании AT&T. Все 5700 жертв, которых мы видели, находились в США», — пишут специалисты.

Китайские исследователи говорят, что они отслеживают атаки ботнета EwDoor с конца октября 2021 года, и за это время малварь обновлялась как минимум трижды.

Анализ вредоносного ПО выявил, что малварь имеет обширные возможности для DDoS-атак, но также является бкэдором, который можно использовать для доступа к устройствам, сбора и кражи конфиденциальной информации, включая, к примеру, журналы вызовов VoIP.

Однако представители AT&T заявили, что не нашли никаких доказательств, подтверждающих эти заявления Qihoo 360Netlab. В компании подчеркивают, что нет свидетельств того, что хакеры получили доступ к данным клиентов.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии