Een groep hackers gebruikt het Hoaxcalls-botnet de afgelopen maanden in een lopende infectiecampagne. Dit is een afgeleide bedreiging op basis van de Gafgyt-malwarecode en met behulp van verschillende exploits die op apparaten zijn gericht.
HoaxCalls Botnet geleverd met gevaarlijke uitbuitingen
Een onbekende groep hackers gebruikt het Hoaxcalls-botnet actief om andere hosts te infecteren en erin te werven. Er is geen informatie beschikbaar over de criminelen die achter de malware-operaties zitten. We stellen vast dat ze zeer ervaren zijn aangezien de campagne al enkele maanden actief is.
De eerste bijbehorende monsters zijn gedetecteerd in Maart 2020 wanneer een domein voor verspreiding het is geregistreerd. De eerste versie van het botnet infecteert door misbruik te maken van twee kwetsbaarheden:
- DrayTek Vigor2960 Fout in uitvoering van externe code — Een beveiligingsprobleem waardoor hackers op deze apparaten kunnen inbreken.
- GrandStream Unified Communications Database Exploit — Deze bug wordt ook bijgehouden in de CVE-2020-5722 adviserend dat wordt beschreven als een probleem met de manier waarop verificatie wordt afgehandeld. Het kan worden gedaan door HTTP-pakketten te maken. Wanneer de hackers de controle over de apparaten hebben ingehaald, kunnen ze lokale opdrachten uitvoeren die kunnen leiden tot de rekrutering van het apparaat naar het botnet.
In April 2020 er is een bijgewerkte versie van de oorspronkelijke bedreiging ontdekt die het dashboard upgradet waarmee het botnet wordt beheerd. Een nieuwe exploit is ook geïntegreerd in het infectiearsenaal dat tegenwerkt ZyXEL Cloud CNM SecuManager. Sinds de oorspronkelijke release van maart van dit jaar worden steeds meer kwetsbaarheden misbruikt om doelcomputers te infecteren met de malwarecode.
Hoaxcalls Botnet-infecties: De nasleep
Een van de redenen waarom de Hoaxcalls als gevaarlijk worden beoordeeld, is het aantal exploits dat constant door de hackers wordt toegevoegd. De criminelen zelf lijken ook zeer ervaren en hebben de mogelijkheid om duizenden hosts te infecteren in een complexe aanval. Uit de analyse van de beveiligingsexperts blijkt dat de hackers de afgelopen maanden veel hosts hebben kunnen infecteren, wat heeft geleid tot een groot netwerk van computers. Ze besturen de computers via een dashboardpaneel zodat ze de collectieve kracht kunnen gebruiken voor snode doeleinden.
Het Hoaxcalls-botnet kan worden gebruikt voor sabotagedoeleinden inclusief georganiseerde grootschalige gedistribueerde denial-of-service (DDoS) aanvallen. Het is heel goed mogelijk dat aanstaande campagnes met dit gevaarlijke wapen worden georganiseerd.