Var varsayılan kimlik bilgileriyle yapılandırılmış VoIP özellikli yönlendiricileri ve cihazları hedefleyen gelişmiş bir Global Botnet kampanyası.
Keşif, analistlerin kırsal New Mexico’da yoğunlaşan alışılmadık bir kötü amaçlı IP adresi kümesini fark ettiklerinde başladı ve dünya çapında yaklaşık 500 uzlaşmış cihazın tanımlanmasına yol açtı.
Key Takeaways
1. Hackers are exploiting VOIP routers with default Telnet passwords to build global botnets.
2. Traced ~90 compromised devices in rural New Mexico to 500+ infected systems worldwide.
3. Organizations with VOIP systems face an immediate threat from unpatched, internet-facing devices
Telnet Botnet Kaldırıcı VoIP Cihazları
Soruşturma, Grinnoise mühendisleri, 3.000’den fazla sakini olan bir bölge olan New Mexico’daki Laguna Hizmet Kurumu Pueblo’sundan kaynaklanan ~ 90 kötü amaçlı IP adresi tespit ettiğinde başladı.
Bu uzlaşmış sistemlerden gelen tüm trafik telnet tabanlı idi ve “Telnet Bruteforcer”, “Jenerik IoT varsayılan şifre denemesi” ve “Mirai” etiketleri dahil olmak üzere botnet katılımıyla tutarlı özellikler sergiledi.
Model Bağlam Protokolü (MCP) sunucusu aracılığıyla AI destekli analiz kullanan araştırmacılar, benzersiz bir ağ parmak izi belirlediler: kötü niyetli trafiğin% 90’ını temsil eden JA4T İmza 5840_2-4-8-1-3_1460_1.
Bu imza, tehlikeye atılan ana bilgisayarlar arasında benzer donanım yapılandırmalarını gösterir ve belirli cihaz türlerinin koordineli hedeflenmesini önerir.
Analiz, etkilenen birçok sistemin VoIP özellikli cihazlar olduğunu doğruladı, kampanyanın bazı bölümlerinde yer alan cambium ağlarından gelen donanım.
Bu cihazlar genellikle varsayılan olarak açıklanan Telnet Hizmetleri ile eski Linux tabanlı ürün yazılımı çalıştırır ve bu da onları tehdit aktörleri için cazip hedefler haline getirir.
Araştırmacılar ayrıca küresel olarak benzer davranış kalıpları sergileyen yaklaşık 500 IP adresi tespit ettiler.
Meyveden çıkarılan cihazlar ortak özellikleri paylaştı: zayıf veya varsayılan kimlik bilgileri, yüksek oturum hacimleri ve bilinen Mirai botnet varyantlarıyla uyumlu tarama davranışı kullanarak telnet giriş denemeleri.
VoIP cihazları özellikle internete bakan, hafifçe izlenmiş ve seyrek yamalı oldukları için özellikle çekici hedefler sunar.
Etkilenen altyapıdaki bazı kambiyum yönlendiricileri, 2017’de açıklanan bir Uzaktan Kod Yürütme (RCE) güvenlik açığından etkilenen ürün yazılımı sürümlerini çalıştırıyor olabilir, ancak araştırmacılar bu belirli CVE’nin sömürülmesini teyit edememektedir.
Kampanya, güvenlik açıklarının açıklamadan uzun süre sonra saldırı yüzeyinin bir parçası olarak kaldığını, tehdit aktörlerinin mevcut her yerde fırsatçı hedefleme sistemlerini gösteriyor.
Grinnoise araştırmacıları sosyal medyadaki faaliyetten kısaca bahsettiğinde, New Mexico yardımcı programından gelen trafik tamamen sona erdi, ancak kısa bir süre sonra tekrar başlamak için saldırganların güvenlik topluluğu tartışmalarını aktif olarak izlediğini gösteriyor.
Güvenlik uzmanları, kuruluşların VOIP özellikli sistemlerde telnet maruziyetini derhal denetlemelerini, kenar cihazlarındaki varsayılan kimlik bilgilerini döndürmeyi veya devre dışı bırakmasını ve bu koordineli saldırılara karşı savunmak için dinamik IP engellemeyi uygulamalarını önerir.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi