En gruppe af hackere bruger Hoaxcalls botnet i en igangværende infektionskampagne i flere måneder. Dette er en derivattrussel baseret på Gafgyt malware-koden og ved hjælp af flere udnyttelsesmålretningsenheder.
HoaxCalls Botnet leveres ved hjælp af farlige udnyttelser
En ukendt gruppe af hackere bruger aktivt Hoaxcalls botnet til at inficere andre værter og rekruttere dem til det. Der findes ingen oplysninger om de kriminelle, der ligger bag malware-operationerne. Vi finder ud af, at de er meget erfarne, da kampagnen har været aktiv i flere måneder nu.
De første prøver, der er forbundet med det, er blevet påvist i Marts 2020 når et domæne til spredning er registreret. Den første version af botnet inficerer gennem udnyttelse af to sårbarheder:
- DrayTek Vigor2960 fejl i ekstern kodeudførelse — Et sikkerhedsproblem, der gør det muligt for hackere at bryde ind i disse enheder.
- GrandStream Unified Communications Database Exploit — Denne fejl spores også i CVE-2020-5722 rådgivende det beskrives som et problem, hvordan autentificering håndteres. Det kan gøres ved at lave HTTP-pakker. Når hackerne har overhalet kontrollen over enhederne, kan de udføre lokale kommandoer, som kan føre til rekruttering af enheden til botnet.
I April 2020 en opdateret version af den oprindelige trussel er blevet opdaget, som opgraderer instrumentbrættet, der bruges til at kontrollere botnet. En ny udnyttelse er også blevet integreret i infektionsarsenal, der agerer imod ZyXEL Cloud CNM SecuManager. Siden den oprindelige udgivelse i marts i år bliver flere og flere sårbarheder udnyttet til at inficere målcomputere med malware-koden.
Hoaxcalls Botnet-infektioner: Eftervirkningen
En af grundene til, at Hoaxcalls vurderes som farligt, er antallet af udnyttelser, som konstant tilføjes af hackerne. Kriminelle i sig selv fremstår også som meget erfarne med evnen til at inficere tusinder af værter i et komplekst angreb. Analysen foretaget af sikkerhedseksperterne bemærker, at hackere i løbet af de sidste måneder har været i stand til at inficere mange værter, der fører til et stort netværk af computere. De styrer computere via et betjeningspanel, så de kan udnytte den kollektive magt til ubehagelige formål.
Hoaxcalls-botnet kan bruges til sabotage formål herunder organiseret storstilet distribueret benægtelse af tjeneste (DDoS) angreb. Det er meget muligt, at kommende kampagner vil blive organiseret med dette farlige våben.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: