Una sofisticada campaña global de Botnet dirigida a enrutadores y dispositivos habilitados para VOIP configurados con credenciales predeterminadas.
El descubrimiento comenzó cuando los analistas notaron un grupo inusual de direcciones IP maliciosas concentradas en la zona rural de Nuevo México, lo que llevó a la identificación de aproximadamente 500 dispositivos comprometidos en todo el mundo.
Control de llave
1. Los piratas informáticos están explotando enrutadores VoIP con contraseñas de Telnet predeterminadas para construir botnets globales.
2. Traed ~ 90 dispositivos comprometidos en la zona rural de Nuevo México a más de 500 sistemas infectados en todo el mundo.
3. Las organizaciones con sistemas VoIP enfrentan una amenaza inmediata de dispositivos no parpados en Internet
Telnet Botnet aprovechando dispositivos VoIP
La investigación comenzó cuando los ingenieros de Greynoise detectaron ~ 90 direcciones IP maliciosas que se originan en el pueblo de la autoridad de servicios públicos de Laguna en Nuevo México, una región con poco más de 3,000 residentes.
Todo el tráfico de estos sistemas comprometidos estaba basado en Telnet, que exhibía características consistentes con la participación de Botnet, incluidas “Telnet BruteForcer”, “intento de contraseña predeterminado de IoT genérico” y etiquetas “Mirai”.
Utilizando el análisis de IA a través de su servidor de protocolo de contexto modelo (MCP), los investigadores identificaron una huella digital de red única: la firma JA4T 5840_2-4-8-1-3_1460_1, que representaba el 90% del tráfico malicioso.
Esta firma indica configuraciones de hardware similares en hosts comprometidos, lo que sugiere una orientación coordinada de tipos de dispositivos específicos.
El análisis confirmó que muchos sistemas afectados eran dispositivos habilitados para VOIP, con hardware de redes Cambium probablemente involucradas en partes de la campaña.
Estos dispositivos generalmente ejecutan un firmware antiguo basado en Linux con servicios de telnet expuestos por defecto, lo que los convierte en objetivos atractivos para los actores de amenaza.
Investigadores también identificado Aproximadamente 500 direcciones IP que exhiben patrones de comportamiento similares.
Los dispositivos comprometidos compartieron características comunes: los intentos de inicio de sesión de Telnet utilizando credenciales débiles o predeterminadas, volúmenes de alta sesión y comportamiento de escaneo alineado con las variantes de botnet Mirai conocidas.
Los dispositivos VoIP presentan objetivos particularmente atractivos porque con frecuencia son orientados a Internet, ligeramente monitoreados y con poca frecuencia.
Algunos enrutadores de Cambium en la infraestructura afectada aún pueden estar ejecutando versiones de firmware afectadas por una vulnerabilidad de ejecución de código remoto (RCE) divulgada en 2017, aunque los investigadores no pudieron confirmar la explotación de esa CVE específica.
La campaña demuestra cómo las vulnerabilidades siguen siendo parte de la superficie de ataque mucho después de la divulgación, con actores de amenaza de apuntando de manera oportunista a los sistemas donde sea disponible.
Cuando los investigadores de Greynoise mencionaron brevemente la actividad en las redes sociales, el tráfico de la empresa de servicios públicos de Nuevo México cesó por completo, solo para aumentar nuevamente poco después, lo que sugiere que los atacantes monitorean activamente las discusiones de la comunidad de seguridad.
Los expertos en seguridad recomiendan que las organizaciones auditen inmediatamente la exposición de Telnet en sistemas habilitados para VOIP, rotar o deshabilitar las credenciales predeterminadas en los dispositivos de borde e implementar el bloqueo de IP dinámico para defenderse de estos ataques coordinados.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
