- 20,980
- 46
- 8 Ноя 2022
Неожиданная особенность бизнес-оборудования стала ключом к массовым атакам.
Французская компания SEKOIA выявила кампанию смишинг-атак, в которой злоумышленники используют уязвимости в промышленных 4G/5G-роутерах Milesight для рассылки фишинговых SMS пользователям в ряде европейских стран. В отчёте описано, что злоумышленники обращаются к API устройств, позволяющему отправлять и просматривать сообщения, и с февраля 2022 года через такие роутеры шли целевые рассылки с поддельными ссылками, имитирующими государственные сервисы и банковские порталы — атаки затронули преимущественно Швецию, Италию и Бельгию.
Расследование показало, что из примерно 18 000 устройств Milesight, доступных из интернета, как минимум 572 открывали SMS-API без требований авторизации; почти половина таких роутеров находится в Европе. SEKOIA связывает эксплуатацию с уже известной уязвимостью информации, отмеченной как CVE-2023-43261 . Злоумышленники использовали как эксплойт, так и ошибки конфигурации — некоторые устройства с более свежей прошивкой не были подвержены проблеме, что указывает на смешение эксплуатаций и неверных настроек.
Атаки строились по простой, но эффективной схеме: сначала проверяли возможность отправки SMS, посылая тесты на подконтрольный номер, затем запускали массовые рассылки через распределённые роутеры, что усложняло обнаружение и блокировку.
Фишинговые страницы, на которые вели сообщения, содержали JavaScript-проверки мобильных браузеров и инструкции якобы по обновлению банковских реквизитов для получения компенсации. Одна из доменных зон, использовавшихся в 2025 году, включала скрипты для отключения контекстного меню и инструментов отладки, а также логирование посещений в Telegram-бот GroozaBot, управляемый пользователем под именем «Gro_oza», который, по собранным признакам, общается на арабском и французском языках.
SEKOIA отмечает отсутствие следов попыток установки долговременных бэкдоров или дальнейшей эскалации — выбор вектора был узконаправлен и ориентирован лишь на доставку фишинга через SMS.
Совокупность фактов подчёркивает привлекательность промышленных маршрутизаторов для подобных рассылок — они обеспечивают децентрализованную отправку по разным странам и операторам, что затрудняет оперативное реагирование.
Рекомендации по защите включают обновление прошивки, проверку доступности управляющих интерфейсов из интернета и отключение SMS-функций на устройствах, которым она не нужна.
Французская компания SEKOIA выявила кампанию смишинг-атак, в которой злоумышленники используют уязвимости в промышленных 4G/5G-роутерах Milesight для рассылки фишинговых SMS пользователям в ряде европейских стран. В отчёте описано, что злоумышленники обращаются к API устройств, позволяющему отправлять и просматривать сообщения, и с февраля 2022 года через такие роутеры шли целевые рассылки с поддельными ссылками, имитирующими государственные сервисы и банковские порталы — атаки затронули преимущественно Швецию, Италию и Бельгию.
Расследование показало, что из примерно 18 000 устройств Milesight, доступных из интернета, как минимум 572 открывали SMS-API без требований авторизации; почти половина таких роутеров находится в Европе. SEKOIA связывает эксплуатацию с уже известной уязвимостью информации, отмеченной как CVE-2023-43261 . Злоумышленники использовали как эксплойт, так и ошибки конфигурации — некоторые устройства с более свежей прошивкой не были подвержены проблеме, что указывает на смешение эксплуатаций и неверных настроек.
Атаки строились по простой, но эффективной схеме: сначала проверяли возможность отправки SMS, посылая тесты на подконтрольный номер, затем запускали массовые рассылки через распределённые роутеры, что усложняло обнаружение и блокировку.
Фишинговые страницы, на которые вели сообщения, содержали JavaScript-проверки мобильных браузеров и инструкции якобы по обновлению банковских реквизитов для получения компенсации. Одна из доменных зон, использовавшихся в 2025 году, включала скрипты для отключения контекстного меню и инструментов отладки, а также логирование посещений в Telegram-бот GroozaBot, управляемый пользователем под именем «Gro_oza», который, по собранным признакам, общается на арабском и французском языках.
SEKOIA отмечает отсутствие следов попыток установки долговременных бэкдоров или дальнейшей эскалации — выбор вектора был узконаправлен и ориентирован лишь на доставку фишинга через SMS.
Совокупность фактов подчёркивает привлекательность промышленных маршрутизаторов для подобных рассылок — они обеспечивают децентрализованную отправку по разным странам и операторам, что затрудняет оперативное реагирование.
Рекомендации по защите включают обновление прошивки, проверку доступности управляющих интерфейсов из интернета и отключение SMS-функций на устройствах, которым она не нужна.
- Источник новости
- www.securitylab.ru
