Novoobjavený botnet schopný organizovať útoky distribuovaného odmietnutia služby (DDoS) sa zameral na zariadenia EdgeMarc od spoločnosti Ribbon Communications (predtým Edgewater Networks), ktoré patria poskytovateľovi telekomunikačných služieb AT&T, a to využitím štyri roky starej chyby v sieťových zariadeniach.
Divízia sieťovej bezpečnosti Netlab čínskeho technologického giganta Qihoo 360, ktorá botnet prvýkrát objavila 27. októbra 2021, ho nazvala EwDoor, poznamenal, že to bolo pozorované 5700 ohrozených IP adries nachádzajúcich sa v USA počas krátkeho trojhodinového okna.
“Doteraz EwDoor z nášho pohľadu prešiel tromi verziami aktualizácií a jeho hlavné funkcie možno zhrnúť do dvoch hlavných kategórií DDoS útokov a backdoor,” poznamenali vedci. “Na základe napadnutých zariadení sa týka telefonickej komunikácie, predpokladáme, že jej hlavným účelom sú DDoS útoky a zhromažďovanie citlivých informácií, ako sú záznamy hovorov.”
EwDoor, ktorý sa šíri cez chybu v zariadeniach EdgeMarc, podporuje množstvo funkcií vrátane schopnosti samostatne sa aktualizovať, sťahovať súbory, získať spätný shell na napadnutom počítači a spúšťať ľubovoľné užitočné zaťaženia. Predmetná chyba zabezpečenia je CVE-2017-6079 (skóre CVSS: 9.8), chyba vstrekovania príkazov ovplyvňujúca hraničných kontrolórov relácie, ktorí by mohli byť ozbrojení na vykonávanie škodlivých príkazov.
EwDoor okrem zhromažďovania informácií o infikovanom systéme tiež nadväzuje komunikáciu so serverom pre vzdialené príkazy a riadenie (C2), či už priamo alebo nepriamo pomocou BitTorrent Trackers na získanie IP adresy servera C2, aby čakal na ďalšie príkazy vydané útočníkmi.
Keď AT&T siahol po komentári, povedal: „Tento problém sme predtým identifikovali, podnikli sme kroky na jeho zmiernenie a pokračujeme vo vyšetrovaní,“ a že „nemáme žiadne dôkazy o tom, že by sa pristupovalo k údajom zákazníkov.“
