Bộ phận an ninh mạng Netlab của gã khổng lồ công nghệ Trung Quốc Qihoo 360, đã phát hiện ra mạng botnet đầu tiên vào ngày 27 tháng 10 năm 2021, đã gọi nó là EwDoor, lưu ý rằng nó đã quan sát thấy 5.700 địa chỉ IP bị xâm phạm ở Hoa Kỳ trong thời gian ba giờ ngắn ngủi.
Các nhà nghiên cứu lưu ý: “Cho đến nay, EwDoor theo quan điểm của chúng tôi đã trải qua ba phiên bản cập nhật và các chức năng chính của nó có thể được tóm tắt thành hai loại chính là tấn công DDoS và cửa sau”. “Dựa trên các thiết bị bị tấn công có liên quan đến liên lạc qua điện thoại, chúng tôi cho rằng mục đích chính của nó là các cuộc tấn công DDoS và thu thập thông tin nhạy cảm, chẳng hạn như nhật ký cuộc gọi.”
Tuyên truyền thông qua một lỗ hổng trong các thiết bị EdgeMarc, EwDoor hỗ trợ nhiều tính năng, bao gồm khả năng tự cập nhật, tải xuống tệp, lấy trình bao ngược trên máy bị xâm phạm và thực thi tải trọng tùy ý. Lỗ hổng được đề cập là CVE-2017-6079 (điểm CVSS: 9,8), một lỗ hổng chèn lệnh ảnh hưởng đến bộ điều khiển biên phiên có thể được vũ khí hóa để thực hiện các lệnh độc hại.
EwDoor, bên cạnh việc thu thập thông tin về hệ thống bị nhiễm, còn thiết lập liên lạc với máy chủ điều khiển và kiểm soát từ xa (C2), trực tiếp hoặc gián tiếp bằng cách sử dụng BitTorrent Trackers để tìm nạp địa chỉ IP của máy chủ C2, nhằm chờ đợi các lệnh khác do kẻ tấn công đưa ra.
Khi được đưa ra bình luận, AT&T cho biết “Trước đây chúng tôi đã xác định được vấn đề này, đã thực hiện các bước để giảm thiểu và tiếp tục điều tra” và rằng “chúng tôi không có bằng chứng cho thấy dữ liệu khách hàng đã bị truy cập.”
.
