Bilinmeyen tehdit aktörleri, en azından Şubat 2022’den bu yana Avrupa ülkelerindeki kullanıcıları hedefleyen bir smsing kampanyasının bir parçası olarak SMS mesajları göndermek için Milotight Industrial Hücresel Yönlendiricileri kötüye kullanıyor.
Fransız siber güvenlik şirketi Sekoia, saldırganların kimlik avı URL’leri içeren kötü niyetli SMS mesajları göndermek için hücresel yönlendiricinin API’sından yararlandığını ve kampanyalar, öncelikle İsveç, İtalya ve Belçika’yı CSAM ve eBox gibi hükümet platformlarını taklit eden yazılış URL’leri kullanarak bankacılık, postal ve telekom sağlayıcıları kullandığını söyledi.
Kamu internette erişilebilen bu tür 18.000 yönlendiricinin 572’den azının, Gelen Kutusu/Outbox API’lerini açığa çıkarmaları nedeniyle potansiyel olarak savunmasız olduğu değerlendirilmektedir. Belirlenen savunmasız yönlendiricilerin yaklaşık yarısı Avrupa’da bulunmaktadır.
Şirket, “Ayrıca, API hem gelen hem de giden SMS mesajlarının alınmasını sağlar, bu da güvenlik açığının en azından Şubat 2022’den beri kötü niyetli SMS kampanyalarını yaymak için aktif olarak sömürüldüğünü gösterir.” Dedi. Diyerek şöyle devam etti: “Cihazda backroors yükleme veya diğer güvenlik açıklarından yararlanma girişimine dair bir kanıt yok. Bu, özellikle saldırganın smaçlama işlemleriyle uyumlu hedefli bir yaklaşım öneriyor.”
Saldırganların, güvenlik araştırmacısı Bipin Jitiya tarafından tam olarak iki yıl önce açıklanan Milight yönlendiricilerini (CVE-2023-43261, CVSS Puan: 7.5) etkileyen şu anda paketlenmiş bir bilgi açıklama kusurundan yararlandığına inanılıyor. Haftalar sonra Vulncheck, kamuoyunun açıklamasının kısa bir süre sonra vahşi doğada silahlandırılmış olabileceğini açıkladı.
Daha fazla araştırma, bazı endüstriyel yönlendiricilerin bazı kimlik doğrulama gerektirmeden mesaj gönderme veya SMS geçmişini görüntüleme dahil SMS ile ilgili özellikleri ortaya çıkardığını ortaya koymuştur.
Saldırılar, tehdit aktörlerinin belirli bir yönlendiricinin kontrolleri altında bir telefon numarasını hedefleyerek SMS mesajları gönderip gönderemeyeceğini doğrulamaya çalıştığı bir başlangıç doğrulama aşamasını içermektedir. Sekoia ayrıca, CVE-2023-43261’e duyarlı olmayan daha yeni ürün yazılımı sürümlerini çalıştıran birkaç yönlendiricinin bulunduğu göz önüne alındığında, API’nin yanlış yakınlaştırmalar nedeniyle kamuya açık erişilebileceğini de belirtti.
Bu yöntem kullanılarak dağıtılan kimlik avı URL’leri arasında, kötü amaçlı içeriğe hizmet vermeden önce sayfanın bir mobil cihazdan erişilip erişmediğini kontrol eden JavaScript bulunur ve bu da kullanıcıları iddia edilen geri ödeme için bankacılık bilgilerini güncellemeye çağırır.
Dahası, Ocak ve Nisan 2025 arasındaki kampanyalarda kullanılan alanlardan biri – JNSI[.]XYZ-Analiz çabalarını engellemek amacıyla sağ tıklama eylemlerini ve tarayıcı hata ayıklama araçlarını devre dışı bırakmak için JavaScript Kodu Özellik. Bazı sayfalarda, ziyaretçi bağlantılarını hem Arapça hem de Fransızca konuşan “Gro_oza” adlı bir aktör tarafından işletilen Groozabot adlı bir telgraf botuna kaydolduğu bulunmuştur.
Sekoia, “Smishing kampanyaları, nispeten sofistike olmayan ancak etkili bir dağıtım vektörü olan savunmasız hücresel yönlendiricilerin sömürülmesi yoluyla yürütülmüş gibi görünüyor.” Dedi. Diyerek şöyle devam etti: “Bu cihazlar, birden fazla ülkede merkezi olmayan SMS dağılımını sağladıkları için tehdit aktörlerine özellikle cazip geliyor, bu da hem tespit hem de yayından kaldırma çabalarını karmaşıklaştırıyor.”