Gli esperti del 360 Netlab, il 27 ottobre, hanno scoperto una botnet nuova di zecca che hanno soprannominato EwDoor in base al suo targeting dei produttori di Edgewater e alla sua funzione Backdoor: si rivolge a clienti AT&T che utilizzano dispositivi edge EdgeMarc Enterprise Session Border Controller (ESBC) pubblicamente esposti a Internet.
Durante l’analisi, gli esperti hanno rilevato che la versione iniziale di EwDoor utilizzava un meccanismo di ridondanza multi-C2. EwDoor ha successivamente riconfigurato il suo modello di comunicazione dopo aver riscontrato problemi con il guasto della rete principale C2, utilizzando BT tracker al downlink C2 e, a causa di ciò, gli esperti purtroppo a hanno perso di vista EwDoor. Tuttavia, durante questa breve osservazione, sono riusciti a confermare che i dispositivi attaccati erano EdgeMarc Enterprise Session Border Controller, appartenenti alla compagnia di telecomunicazioni AT&T e che tutte le 5.7k vittime attive viste nella breve finestra temporale erano tutti geograficamente situati negli Stati Uniti.
Ewdoor utilizza il collegamento dinamico e, sebbene adotti alcune tecniche anti-inversione, non è molto difficile invertirlo. Quando viene eseguito sul dispositivo infetto, prima raccoglie le informazioni sul dispositivo, quindi esegue alcune cose comuni come singola istanza, persistenza e altre funzioni; quindi decifra il tracker bt e ottiene C2 accedendo al tracker bt; infine riporta le informazioni sul dispositivo raccolte a C2 ed esegue i comandi emessi da C2.
Secondo gli esperti di Netlab, EwDoor finora ha subito 3 versioni di aggiornamenti e le sue funzioni principali possono essere riassunte in 2 categorie principali di attacchi DDoS e Backdoor. In base alla relazione tra i dispositivi attaccati e la comunicazione telefonica, si presume che il suo scopo principale sia DDoS attacchi e raccolta di informazioni sensibili, come i registri delle chiamate.
Sequenza temporale
- 27 ottobre 2021, prima acquisizione di EwDoor, numero di versione 0.12.0, le caratteristiche principali sono Attacco DDoS, File Manager, Reverse Shell, Port Scan, ecc.
- 8 novembre 2021, EwDoor è stato aggiornato alla versione numero 0.15.0, spostando C2 da locale a cloud, utilizzando BT Tracker.
- 15 novembre 2021, EwDoor aggiornato alla versione 0.16.0, aggiornamento minore, aggiunta di funzionalità di confronto sandbox.
- 20 novembre 2021, EwDoor è stata aggiornata alla versione 0.16.0, aggiornamento minore, aggiungendo altri tracker BT.
Netlab ha catturato un totale di 3 versioni di EwDoor con la versione 0.16.0 come progetto, e EwDoor è stata caratterizzata come una botnet che invia C2 attraverso il tracker BT, utilizza TLS per proteggere il traffico e principalmente guadagna tramite attacchi DDoS e il furto di dati sensibili. Attualmente si propaga attraverso il Nday CVE-2017-6079, rivolto principalmente ai dispositivi EdgeMarc Enterprise Session Border Controller.
https://blog.netlab.360.com/warning-ewdoor-botnet-is-attacking-att-customers/